SonicWall insta a los clientes a restablecer las credenciales después de que sus archivos de copia de seguridad de configuración de firewall se expusieron en una violación de seguridad que impacta las cuentas de MySonicWall.
La compañía dijo que recientemente detectó actividades sospechosas dirigidas al servicio de respaldo de la nube para firewalls, y que los actores de amenaza desconocidos accedieron a los archivos de preferencia de firewall de respaldo almacenados en la nube para menos del 5% de sus clientes.
«Si bien las credenciales dentro de los archivos estaban encriptadas, los archivos también incluyeron información que podría facilitar que los atacantes exploten el firewall relacionado», dijo la compañía.
La compañía de seguridad de la red dijo que no tiene conocimiento de que los actores de amenazas filtren en línea ninguno de estos archivos, y agregó que no fue un evento de ransomware dirigido a su red.
«Más bien, esta fue una serie de ataques de fuerza bruta destinada a obtener acceso a los archivos de preferencias almacenados en copia de seguridad para un posible uso adicional por parte de los actores de amenazas», señaló. Actualmente no se sabe quién es responsable del ataque.
Como resultado del incidente, la compañía insta a los clientes a seguir los pasos a continuación –
- Inicie sesión en mySonicWall.com y verifique si las copias de seguridad en la nube están habilitadas
- Verifique si se han marcado los números de serie afectados en las cuentas
- Inicie los procedimientos de contención y remediación limitando el acceso a los servicios de WAN, desactivando el acceso a HTTP/HTTPS/SSH Management, deshabilitando el acceso a SSL VPN e IPSEC VPN, restablecer las contraseñas y los TOTP guardados en el firewall, y revisar los registros y los cambios recientes de configuración para la actividad inusual de la actividad inusual
Además, también se ha recomendado a los clientes afectados para importar nuevos archivos de preferencias proporcionados por SonicWall en los firewalls. El nuevo archivo de preferencias incluye los siguientes cambios:
- Contraseña aleatoria para todos los usuarios locales
- Restablecer la unión de TOTP, si está habilitado
- Teclas VPN IPSEC aleatorias
«El archivo de preferencias modificado proporcionado por SonicWall se creó a partir del último archivo de preferencias que se encuentra en el almacenamiento en la nube», dijo. «Si el archivo de preferencias más recientes no representa la configuración deseada, no use el archivo».
La divulgación se produce a medida que los actores de amenaza afiliados al grupo de ransomware Akira han seguido dirigiéndose a dispositivos Sonicwall sin parpadear para obtener acceso inicial a las redes de destino al explotar una falla de seguridad de un año (CVE-2024-40766, puntaje CVSS: 9.3).
A principios de esta semana, la compañía de ciberseguridad Huntress detalló un incidente de ransomware Akira que implicaba la explotación de VPN de SonicWall en las que los actores de amenaza aprovecharon un archivo de texto sin formato que contenía códigos de recuperación de su software de seguridad para evitar la autenticación multifactor (MFA), suprimir la visibilidad del incidente e intentar eliminar las protecciones de punto final.
«En este incidente, el atacante utilizó códigos de recuperación de cazadores expuestos para iniciar sesión en el portal de Huntress, cerrar alertas activas e iniciar la desinstalación de los agentes de la cazadora EDR, intentando efectivamente cegar las defensas de la organización y dejarlo vulnerable a los ataques de seguimiento», dijeron los investigadores Michael Elford y Chad Hudson.
«Este nivel de acceso puede armarse para deshabilitar las defensas, manipular herramientas de detección y ejecutar más acciones maliciosas. Las organizaciones deben tratar los códigos de recuperación con la misma sensibilidad que las contraseñas de cuentas privilegiadas».
