SonicWall insta a sus clientes a restablecer sus credenciales tras la exposición de los archivos de copia de seguridad de la configuración de su firewall en una brecha de seguridad que afectó a las cuentas de MySonicWall.
La compañía afirmó haber detectado recientemente actividad sospechosa dirigida al servicio de copias de seguridad en la nube para firewalls, y que agentes de amenazas desconocidos accedieron a los archivos de preferencias del firewall de copia de seguridad almacenados en la nube para menos del 5% de sus clientes.
"Si bien las credenciales de los archivos estaban cifradas, estos también incluían información que podría facilitar a los atacantes la explotación del firewall", declaró la compañía.
La compañía afirmó no tener conocimiento de que los agentes de amenazas hayan filtrado alguno de estos archivos en línea, y añadió que no se trató de un ataque de ransomware dirigido a su red.
"Se trató, más bien, de una serie de ataques de fuerza bruta destinados a obtener acceso a los archivos de preferencias almacenados en la copia de seguridad para su posible uso posterior por parte de agentes de amenazas", señaló. Actualmente se desconoce la responsabilidad del ataque.
Como resultado del incidente, la compañía insta a los clientes a seguir los siguientes pasos:
- Iniciar sesión en MySonicWall.com y verificar si las copias de seguridad en la nube están habilitadas.
- Verificar si los números de serie afectados se han marcado en las cuentas.
- Iniciar procedimientos de contención y remediación limitando el acceso a los servicios desde la WAN, desactivando el acceso a la administración HTTP/HTTPS/SSH, deshabilitando el acceso a SSL VPN e IPSec VPN, restableciendo las contraseñas y los TOTP guardados en el firewall, y revisando los registros y los cambios de configuración recientes para detectar actividad inusual.
Además, se recomienda a los clientes afectados que importen los nuevos archivos de preferencias proporcionados por SonicWall a los firewalls. El nuevo archivo de preferencias incluye los siguientes cambios:
- Contraseña aleatoria para todos los usuarios locales.
- Restablecer la vinculación TOTP, si está habilitada.
- Claves aleatorias de VPN IPSec.
"El archivo de preferencias modificado proporcionado por SonicWall se creó a partir del último archivo de preferencias encontrado en el almacenamiento en la nube", indicaba. "Si el último archivo de preferencias no representa la configuración deseada, no lo utilice".
La revelación se produce mientras los actores de amenazas afiliados al grupo de ransomware Akira siguen atacando dispositivos SonicWall sin parches para obtener acceso inicial a las redes objetivo mediante la explotación de una falla de seguridad de un año de antigüedad (CVE-2024-40766, CVSS: 9,3).
A principios de esta semana, la empresa de ciberseguridad Huntress detalló un incidente de ransomware Akira que involucraba la explotación de las VPN de SonicWall. En este incidente, los actores de amenazas utilizaron un archivo de texto sin formato que contenía códigos de recuperación de su software de seguridad para eludir la autenticación multifactor (MFA), suprimir la visibilidad del incidente e intentar eliminar las protecciones de los endpoints.
Fuente: THN