SonicWall a stabilit că atacul din septembrie, în urma căruia au fost expuse fișierele de backup ale configurațiilor de firewall, a fost orchestrată de hackeri susținuți de un stat, iar investigația realizată de Mandiant a confirmat că accesul neautorizat s-a limitat la fișiere stocate într-un anumit mediu cloud și a fost efectuat printr-un apel API. Compania, recunoscută pentru echipamente și soluții de securitate de rețea, a anunțat incidentul inițial pe 17 septembrie și a subliniat că produsele, firmware-ul, sistemele interne, codul sursă și rețelele clienților nu au fost compromise.
Fișierele expuse conțineau informații sensibile, precum credențiale și tokenuri, elemente care pot facilita exploatarea firewall-urilor dacă ajung în mâini greșite. Din acest motiv, SonicWall a recomandat clienților să-și reseteze imediat parolele MySonicWall și codurile de acces temporare, să schimbe parolele serviciilor LDAP, RADIUS sau TACACS+, parolele pentru interfețele WAN L2TP/PPPoE/PPTP și secretele partajate folosite în politicile IPSec site-to-site și GroupVPN. Pe 9 octombrie, compania a declarat că toți clienții care foloseau serviciul cloud de backup pentru fișierele de configurare au fost afectați.
Raportul final indică faptul că activitatea malițioasă a fost limitată la o zonă specifică a infrastructurii cloud și nu a compromis securitatea produselor SonicWall. De asemenea, investigația Mandiant nu a găsit legături între această activitate sponsorizată de stat și atacurile lansate de grupul de tip ransomware Akira, care tot în septembrie a vizat conturi VPN SonicWall protejate cu autentificare multi-factor. Pe 13 octombrie, compania Huntress a raportat o creștere a activității malițioase asupra conturilor SSLVPN SonicWall și a anunțat compromiterea cu succes a peste o sută de conturi folosind credențiale valide; Huntress nu a găsit dovezi care să conecteze aceste atacuri cu expunerea fișierelor de backup din septembrie. SonicWall nu a furnizat un răspuns public la solicitările legate de această situație.
Incidentul evidențiază câteva aspecte clare: importanța gestionării credențialelor și a secretelor în serviciile cloud, riscul expunerii configurațiilor sensibile și rolul investigațiilor independente, precum cea a Mandiant, în clarificarea responsabilităților și a limitelor unui incident. Reamintim că măsurile practice recomandate de SonicWall, resetarea parolelor și revizuirea secretelor partajate pentru VPN și servere de autentificare, sunt acțiuni ce pot diminua expunerea în situații similare. Care este opinia ta despre măsurile adoptate de SonicWall și recomandările tehnice adresate clienților?
Fii primul care comentează