SonicWall insta a los clientes a restablecer las credenciales luego de que sus archivos de copia de seguridad de configuración de firewall se expusieron en una violación de seguridad que impacta las cuentas de MySonicWall.
La compañía dijo que recientemente detectó actividades sospechosas dirigidas al servicio de respaldo de la aglomeración para firewalls, y que los actores de amenaza desconocidos accedieron a los archivos de preferencia de firewall de respaldo almacenados en la aglomeración para menos del 5% de sus clientes.
“Si aceptablemente las credenciales internamente de los archivos estaban encriptadas, los archivos además incluyeron información que podría proporcionar que los atacantes exploten el firewall relacionado”, dijo la compañía.
La compañía de seguridad de la red dijo que no tiene conocimiento de que los actores de amenazas filtren en itinerario nadie de estos archivos, y agregó que no fue un evento de ransomware dirigido a su red.
“Más aceptablemente, esta fue una serie de ataques de fuerza bruta destinada a obtener golpe a los archivos de preferencias almacenados en copia de seguridad para un posible uso adicional por parte de los actores de amenazas”, señaló. Actualmente no se sabe quién es responsable del ataque.
Como resultado del incidente, la compañía insta a los clientes a seguir los pasos a continuación –
- Inicie sesión en mySonicWall.com y verifique si las copias de seguridad en la aglomeración están habilitadas
- Verifique si se han afectado los números de serie afectados en las cuentas
- Inicie los procedimientos de contención y remediación limitando el golpe a los servicios de WAN, desactivando el golpe a HTTP/HTTPS/SSH Management, deshabilitando el golpe a SSL VPN e IPSEC VPN, restablecer las contraseñas y los TOTP guardados en el firewall, y revisar los registros y los cambios recientes de configuración para la actividad inusual de la actividad inusual
Por otra parte, además se ha recomendado a los clientes afectados para importar nuevos archivos de preferencias proporcionados por SonicWall en los firewalls. El nuevo archivo de preferencias incluye los siguientes cambios:
- Contraseña aleatoria para todos los usuarios locales
- Restablecer la unión de TOTP, si está facultado
- Teclas VPN IPSEC aleatorias
“El archivo de preferencias modificado proporcionado por SonicWall se creó a partir del posterior archivo de preferencias que se encuentra en el almacenamiento en la aglomeración”, dijo. “Si el archivo de preferencias más recientes no representa la configuración deseada, no use el archivo”.
La divulgación se produce a medida que los actores de amenaza afiliados al familia de ransomware Akira han seguido dirigiéndose a dispositivos Sonicwall sin parpadear para obtener golpe original a las redes de destino al explotar una equivocación de seguridad de un año (CVE-2024-40766, puntaje CVSS: 9.3).
A principios de esta semana, la compañía de ciberseguridad Huntress detalló un incidente de ransomware Akira que implicaba la explotación de VPN de SonicWall en las que los actores de amenaza aprovecharon un archivo de texto sin formato que contenía códigos de recuperación de su software de seguridad para evitar la autenticación multifactor (MFA), suprimir la visibilidad del incidente e intentar eliminar las protecciones de punto final.
“En este incidente, el atacante usó códigos de recuperación de cazadores expuestos para iniciar sesión en el portal de Huntress, cerrar alertas activas e iniciar la desinstalación de los agentes de la cazadora EDR, intentando efectivamente cegar las defensas de la estructura y dejarlo indefenso a los ataques de seguimiento”, dijeron los investigadores Michael Elford y Chad Hudson.
“Este nivel de golpe puede armarse para deshabilitar las defensas, manipular herramientas de detección y ejecutar más acciones maliciosas. Las organizaciones deben tratar los códigos de recuperación con la misma sensibilidad que las contraseñas de cuentas privilegiadas”.
