SonicWall a anunțat că fișierele de backup ale configurațiilor unor firewall-uri salvate în conturi MySonicWall au fost accesate de atacatori și solicită clienților să își reseteze imediat acreditările. Incidentul a afectat serviciul de backup în cloud și a condus la expunerea unor fișiere ce pot conține informații care facilitează compromiterea echipamentelor de securitate.
De la primele firewall-uri comerciale până la era cloud, riscurile s-au mutat de la echipamente fizice la fișiere și conturi online. SonicWall a detectat accesul neautorizat, a blocat intrarea atacatorilor și cooperează cu specialiști în securitate cibernetică și autorități pentru a evalua impactul. Firma afirmă că fișierele de configurare expuse pot include date care ar ușura acțiunile unui atacator, cum ar fi acreditări și tokeni ce permit accesul la servicii găzduite pe dispozitivele protejate de SonicWall.
Consecințele pot fi serioase: un backup compromis poate furniza acces la credențiale și tokeni pentru diverse servicii rulate pe firewall, ceea ce poate permite accesări neautorizate sau modificări ale configurării rețelei. Din acest motiv SonicWall a publicat un ghid detaliat pentru administratori, cu pași practici pentru a reduce riscul ca o configurație compromisă să fie folosită pentru a pătrunde în rețea, pentru a reconfigura secrete și parole compromise și pentru a detecta activități suspicioase.
Compania recomandă, în primul rând, dezactivarea sau restricționarea accesului din WAN către serviciile dispozitivului înainte de a reseta acreditările. Apoi trebuie resetate toate parolele, cheile API și tokenii de autentificare folosiți de utilizatori, conturi VPN și servicii. SonicWall a publicat un bulletin intitulat Essential Credential Reset care inventariază toate serviciile și credențialele ce trebuie actualizate. De asemenea, avertizează că parolele, secretele partajate și cheile de criptare configurate în SonicOS pot necesita actualizare și la furnizori externi, precum ISP-ul, serviciile Dynamic DNS, providerul de email, peer-ii IPSec VPN sau serverele LDAP/RADIUS.
Un purtător de cuvânt SonicWall a declarat pentru BleepingComputer că incidentul afectează sub 5% din baza de instalări a firewall-urilor companiei și că atacatorii au vizat serviciul API de backup în cloud prin atacuri brute-force, cont cu cont. Deși fișierele conțineau parole criptate, ele includeau și informații ce pot facilita exploatarea echipamentelor. Până în prezent, SonicWall nu confirmă că fișierele au fost publicate online de atacatori. Compania subliniază că nu a fost vorba de un atac de tip ransomware asupra SonicWall, ci de multiple încercări de autentificare forțată pentru a obține fișierele de preferințe stocate ca backup.
Acest incident survine după o perioadă în care vulnerabilități legate de accesul SSLVPN au fost în atenție. În august, SonicWall a respins inițial afirmațiile că grupul de ransomware Akira exploatează firewall-urile Gen 7 printr-un zero-day, explicând că problema era legată de CVE-2024-40766, o vulnerabilitate critică de control al accesului SSLVPN din SonicOS, pentru care a fost emis un patch în noiembrie 2024. Recent, Australian Cyber Security Center și firma Rapid7 au confirmat că grupul Akira exploatează această CVE pentru a compromite dispozitive SonicWall neactualizate, subliniind importanța aplicării patch-urilor.
Pe scurt, pașii practici recomandați sunt: blocarea accesului WAN acolo unde este posibil, resetarea tuturor tokenilor, parolelor și cheilor, verificarea serviciilor menționate în bulletin și coordonarea cu furnizorii externi pentru a actualiza aceleași secrete și chei peste tot. SonicWall a publicat un checklist structurat, cu elementele critice prioritizate, pentru a ajuta administratorii să mențină consistența actualizărilor și să protejeze integritatea mediului SonicWall.
Actualizare 17 septembrie, 14:33 EDT: declarația SonicWall a fost adăugată.
Essential Credential Reset rămâne sursa principală pentru lista completă de servicii afectate și pașii de remediere. Afectarea sub 5% din baza de instalări sugerează un impact numeric limitat, dar riscul pentru medii neactualizate sau care nu urmează recomandările de resetare poate fi substanțial.
Câteva teme cheie reies din acest incident: importanța gestionării credențialelor, pericolele stocării backup-urilor în cloud dacă autentificarea nu este suficientă și necesitatea aplicării rapide a patch-urilor (CVE-2024-40766 este un exemplu relevant). De asemenea, evenimentul evidențiază cum atacurile țintite, chiar dacă afectează un procent mic din bază, pot avea efecte disproporționate asupra securității rețelelor. Consultați lista Essential Credential Reset, rețineți că sub 5% din dispozitive erau vizate și că a fost lansat un patch în noiembrie 2024 pentru CVE-2024-40766, și verificați imediat dacă rețeaua dvs. folosește servicii sau tokeni enumerați acolo. Ce măsuri ați lua acum pentru a verifica dacă echipamentele voastre SonicWall sunt în siguranță?
da, schimbați parolele acum, eu am pățit odată, nu stați pe gânduri.