Η έρευνα της SonicWall για την παραβίαση ασφαλείας τον Σεπτέμβριο που αποκάλυψε τα αρχεία αντιγράφων ασφαλείας των ρυθμίσεων του τείχους προστασίας των πελατών καταλήγει στο συμπέρασμα ότι πίσω από την επίθεση βρισκόντουσαν χάκερ που χρηματοδοτήθηκαν από το κράτος.
Η εταιρεία ασφάλειας δικτύου λέει ότι οι υπεύθυνοι αντιμετώπισης περιστατικών από τη Mandiant επιβεβαίωσαν ότι η κακόβουλη δραστηριότητα δεν είχε καμία επίδραση στα προϊόντα, το υλικολογισμικό, τα συστήματα, τα εργαλεία, τον πηγαίο κώδικα ή τα δίκτυα πελατών της SonicWall.
“Η έρευνα του Mandiant έχει πλέον ολοκληρωθεί. Τα ευρήματά τους επιβεβαιώνουν ότι η κακόβουλη δραστηριότητα – που πραγματοποιήθηκε από έναν παράγοντα απειλών που χρηματοδοτείται από το κράτος – απομονώθηκε στη μη εξουσιοδοτημένη πρόσβαση αρχείων backup cloud από ένα συγκεκριμένο περιβάλλον cloud χρησιμοποιώντας μια κλήση API.” αναφέρει η SonicWall.
“Το περιστατικό δεν επηρέασε τα προϊόντα ή το υλικολογισμικό της SonicWall. Δεν διακόπηκαν ή παραβιάστηκαν άλλα συστήματα ή εργαλεία SonicWall, πηγαίος κώδικας ή δίκτυα πελατών”, λέει ο πωλητής.
Στις 17 Σεπτεμβρίου, η αμερικανική εταιρεία αποκάλυψε «ένα περιστατικό που αποκάλυψε τα αρχεία αντιγράφων ασφαλείας της διαμόρφωσης του τείχους προστασίας που ήταν αποθηκευμένα σε συγκεκριμένους λογαριασμούς MySonicWall».
Ένας εισβολέας θα μπορούσε να εξαγάγει από αυτά τα αρχεία ευαίσθητες πληροφορίες, όπως διαπιστευτήρια πρόσβασης και διακριτικά, που θα μπορούσαν να τον κάνουν “σημαντικά ευκολότερο” να εκμεταλλευτεί τα τείχη προστασίας ενός πελάτη.
Η εταιρεία συμβούλεψε αμέσως τους πελάτες να επαναφέρουν τα διαπιστευτήρια του λογαριασμού MySonicWall, τους προσωρινούς κωδικούς πρόσβασης, τους κωδικούς πρόσβασης για διακομιστές LDAP, RADIUS ή TACACS+, τους κωδικούς πρόσβασης για τις διεπαφές L2TP/PPPoE/PPTP WAN και τα κοινά μυστικά στις πολιτικές IPSec site-to-site και GroupVPN.
Σε μια ενημέρωση στις 9 Οκτωβρίου, η SonicWall δήλωσε ότι η παραβίαση ασφαλείας επηρέασε όλους τους πελάτες που χρησιμοποιούσαν την υπηρεσία δημιουργίας αντιγράφων ασφαλείας cloud της εταιρείας για την αποθήκευση αρχείων διαμόρφωσης τείχους προστασίας.
Η έρευνα έχει πλέον ολοκληρωθεί και ο προμηθευτής ασφάλειας δικτύου δηλώνει ότι η παραβίαση περιορίστηκε σε ένα συγκεκριμένο μέρος του περιβάλλοντός του και δεν επηρέασε την ασφάλεια των προϊόντων του.
Επιπλέον, η εταιρεία διαβεβαίωσε ότι η δραστηριότητα έθνους-κράτους που διερευνήθηκε δεν έχει καμία σχέση με επιθέσεις από τη συμμορία ransomware Akira που στόχευε λογαριασμούς SonicWall VPN που προστατεύονται από το MFA στα τέλη Σεπτεμβρίου.
Πιο πρόσφατα, στις 13 Οκτωβρίου, η Huntress ανέφερε ότι είδε αυξημένη κακόβουλη δραστηριότητα που στοχεύει λογαριασμούς SonicWall SSLVPN και διακυβεύει με επιτυχία πάνω από εκατό από αυτούς χρησιμοποιώντας έγκυρα διαπιστευτήρια.
Η Huntress δεν βρήκε κανένα στοιχείο που να συνδέει αυτές τις επιθέσεις με την έκθεση των αρχείων διαμόρφωσης του τείχους προστασίας του Σεπτεμβρίου και η SonicWall δεν απάντησε στα αιτήματά μας σχετικά με το θέμα.
Είτε καθαρίζετε παλιά κλειδιά είτε τοποθετείτε προστατευτικά κιγκλιδώματα για κώδικα που δημιουργείται από AI, αυτός ο οδηγός βοηθά την ομάδα σας να χτίζει με ασφάλεια από την αρχή.
Πάρτε το φύλλο εξαπάτησης και αφαιρέστε τις εικασίες από τη διαχείριση μυστικών.
VIA: bleepingcomputer.com
