SonicWall a anunțat că toți clienții care au utilizat serviciul său de backup în cloud au fost afectați de breșa de securitate declanșată luna trecută. Aceasta înseamnă că fișierele de configurare ale firewall-urilor stocate în portalul MySonicWall au fost accesate de o terță parte neautorizată, iar informația survine după investigația realizată în colaborare cu firma de răspuns la incidente Mandiant.
MySonicWall este portalul online folosit pentru gestionarea accesului la produse, licențe, înregistrări, actualizări de firmware, cazuri de suport și pentru păstrarea în cloud a fișierelor .EXP care conțin configurațiile firewall-urilor. Pe 17 septembrie compania a solicitat utilizatorilor să-și reseteze acreditările MySonicWall pentru a proteja aceste copii de rezervă, avertizând că fișierele ar fi putut fi consultate de actori neautorizați. Inițial se estimase că aproximativ 5% dintre clienți foloseau serviciul de backup în cloud; actualizarea recentă arată însă că orice client care a utilizat portalul de backup este afectat.
SonicWall a precizat că fișierele compromise conțin credențiale și date de configurare criptate AES-256, dar că accesul la aceste fișiere poate facilita exploatarea firewall-urilor de către atacatori. Pentru a diminua riscul, compania a publicat pașii esențiali pentru resetarea acreditărilor: trebuie înlocuite toate parolele, cheile API și token-urile de autentificare, conturile VPN și serviciile asociate. Administratorii sunt sfătuiți să acorde prioritate dispozitivelor active, expuse la internet.
Printre acțiunile critice recomandate se află resetarea și actualizarea parolelor tuturor utilizatorilor locali, resetarea codurilor temporare TOTP pentru utilizatorii locali, actualizarea parolelor pe servere LDAP, RADIUS sau TACACS+, schimbarea secretului partajat în politicile IPSec site-to-site și GroupVPN, actualizarea parolelor folosite pentru interfețele WAN L2TP/PPPoE/PPTP și resetarea cheii API pentru Cloud Secure Edge. Listele includ și măsuri considerate mai puțin critice, precum regenerarea cheilor AWS pentru logging și integrarea VPN, resetarea acreditărilor SNMPv3 și actualizarea parolelor pentru conexiunile WWAN. SonicWall a pus la dispoziție un checklist pentru a se asigura că parolele, cheile și secretele sunt actualizate în mod uniform.
Pentru a verifica dacă un dispozitiv este afectat, utilizatorii pot accesa MySonicWall și naviga la Product Management → Issue List. Dacă acolo apar intrări care necesită revizuire, trebuie urmate imediat procedurile de resetare a acreditărilor, începând cu firewall-urile expuse la internet. Deși, conform companiei, investigația oficială s-a încheiat, administratorii ar trebui să monitorizeze periodic alertele MySonicWall pentru eventuale liste actualizate de dispozitive compromise.
Investigația desfășurată cu Mandiant confirmă amploarea accesului neautorizat la copiile de rezervă; detaliile tehnice arată că datele expuse sunt criptate, dar conțin informații utile pentru actori rău intenționați. În practică, asta înseamnă că simpla stocare a copiilor de rezervă în cloud nu elimină riscul, mai ales dacă cheile, parolele sau token-urile asociate nu sunt schimbate. Pașii recomandați de SonicWall reprezintă practici de igienă de bază în securitatea rețelelor: resetări periodice, revizuirea cheilor și controlul accesului. Acțiunile concrete de întreprins imediat sunt verificarea listei de probleme din produs, resetarea tuturor credentialelor menționate și prioritizarea dispozitivelor expuse.
SonicWall a actualizat buletinul cu lista de pași esențiali pentru remediere; utilizatorii care sunt încă în proces de revizuire ar trebui să le aplice fără întârziere. Ce măsuri concrete ați implementat deja pentru a proteja firewall-urile și backup-urile din cloud?
Fii primul care comentează