SonicWall insta a los clientes a restablecer las credenciales posteriormente de que sus archivos de copia de seguridad de configuración de firewall se expusieron en una violación de seguridad que impacta las cuentas de MySonicWall.
La compañía dijo que recientemente detectó actividades sospechosas dirigidas al servicio de respaldo de la montón para firewalls, y que los actores de amenaza desconocidos accedieron a los archivos de preferencia de firewall de respaldo almacenados en la montón para menos del 5% de sus clientes.
«Si adecuadamente las credenciales en el interior de los archivos estaban encriptadas, los archivos además incluyeron información que podría solucionar que los atacantes exploten el firewall relacionado», dijo la compañía.
La compañía de seguridad de la red dijo que no tiene conocimiento de que los actores de amenazas filtren en tangente ningún de estos archivos, y agregó que no fue un evento de ransomware dirigido a su red.
«Más adecuadamente, esta fue una serie de ataques de fuerza bruta destinada a obtener paso a los archivos de preferencias almacenados en copia de seguridad para un posible uso adicional por parte de los actores de amenazas», señaló. Actualmente no se sabe quién es responsable del ataque.
Como resultado del incidente, la compañía insta a los clientes a seguir los pasos a continuación –
- Inicie sesión en mySonicWall.com y verifique si las copias de seguridad en la montón están habilitadas
- Verifique si se han afectado los números de serie afectados en las cuentas
- Inicie los procedimientos de contención y remediación limitando el paso a los servicios de WAN, desactivando el paso a HTTP/HTTPS/SSH Management, deshabilitando el paso a SSL VPN e IPSEC VPN, restablecer las contraseñas y los TOTP guardados en el firewall, y revisar los registros y los cambios recientes de configuración para la actividad inusual de la actividad inusual
Encima, además se ha recomendado a los clientes afectados para importar nuevos archivos de preferencias proporcionados por SonicWall en los firewalls. El nuevo archivo de preferencias incluye los siguientes cambios:
- Contraseña aleatoria para todos los usuarios locales
- Restablecer la unión de TOTP, si está facultado
- Teclas VPN IPSEC aleatorias
«El archivo de preferencias modificado proporcionado por SonicWall se creó a partir del zaguero archivo de preferencias que se encuentra en el almacenamiento en la montón», dijo. «Si el archivo de preferencias más recientes no representa la configuración deseada, no use el archivo».
La divulgación se produce a medida que los actores de amenaza afiliados al clan de ransomware Akira han seguido dirigiéndose a dispositivos Sonicwall sin parpadear para obtener paso original a las redes de objetivos al explotar una descompostura de seguridad de un año (CVE-2024-40766, CVSS Score: 9.3).
A principios de esta semana, la compañía de ciberseguridad Huntress detalló un incidente de ransomware Akira que implicaba la explotación de VPN de SonicWall en las que los actores de amenaza aprovecharon un archivo de texto sin formato que contenía códigos de recuperación de su software de seguridad para evitar la autenticación multifactor (MFA), suprimir la visibilidad del incidente e intentar eliminar las protecciones de punto final.
«En este incidente, el atacante utilizó códigos de recuperación de cazadores expuestos para iniciar sesión en el portal de Huntress, cerrar alertas activas e iniciar la desinstalación de los agentes de Huntress EDR, intentando efectivamente cegar las defensas de la ordenamiento y dejarlo delicado a los ataques de seguimiento», dijeron los investigadores Michael Elford y Chad Hudson.
«Este nivel de paso puede armarse para deshabilitar las defensas, manipular herramientas de detección y ejecutar más acciones maliciosas. Las organizaciones deben tratar los códigos de recuperación con la misma sensibilidad que las contraseñas de cuentas privilegiadas».
