Компания SonicWall подтвердила факт атаки на платформу MySonicWall.com , в результате которой были раскрыты файлы конфигурации брандмауэров клиентов. Это стало последней из череды уязвимостей системы безопасности, затрагивающих поставщика и его клиентов.
Службы безопасности компании начали расследование подозрительной активности и подтвердили, что атака произошла «в последние несколько дней», сообщил CyberScoop Брет Фицджеральд, старший директор по глобальным коммуникациям SonicWall. «Наше расследование показало, что менее 5% наших установленных брандмауэров имели резервные файлы настроек брандмауэра, хранящиеся в облаке для устройств, к которым имели доступ злоумышленники».
Хотя клиенты SonicWall неоднократно сталкивались с активно эксплуатируемыми уязвимостями в устройствах SonicWall, эта атака знаменует собой новую болевую точку — атаку на систему, взаимодействующую с клиентами, которую контролирует компания.
Это различие имеет важное значение, поскольку оно указывает на наличие системных недостатков безопасности во всех линейках продуктов, внутренней инфраструктуре и практиках SonicWall.
«Подобные инциденты подчеркивают важность того, чтобы поставщики решений безопасности — не только SonicWall — придерживались тех же или более высоких стандартов, которые они ожидают от своих клиентов», — рассказал CyberScoop Маурисио Санчес, старший директор по корпоративной безопасности и исследованиям сетей в Dell'Oro Group.
«Когда взлом происходит в системе, которой управляет поставщик, а не в продукте, развернутом заказчиком, последствия могут быть особенно разрушительными, поскольку на карту поставлено доверие к более широкой экосистеме поставщика», — добавил он.
SonicWall признала, что потенциальный риск для клиентов весьма серьёзный. «Хотя файлы содержали зашифрованные пароли, они также содержали информацию, которая могла бы облегчить злоумышленникам использование брандмауэров», — сказала Фицджеральд.
«Это не было связано с программой-вымогателем или чем-то подобным в случае SonicWall, а скорее с серией атак методом подбора паролей по учетным записям, направленных на получение доступа к файлам настроек, хранящимся в резервной копии, для возможного дальнейшего использования злоумышленниками», — добавил он.
SonicWall не назвала имена ответственных за атаку, добавив, что не обнаружила доказательств утечки украденных файлов в интернете. Компания заявила, что отключила доступ к функции резервного копирования, приняла меры по укреплению безопасности своих систем на уровне инфраструктуры и процессов и начала расследование при содействии консалтинговой компании, специализирующейся на реагировании на инциденты.
Санчес назвал взлом серьёзной проблемой. «Эти файлы часто содержат подробную архитектуру сети, правила и политики, которые могут предоставить злоумышленникам план действий для более эффективного использования уязвимостей», — сказал он. «Хотя сброс учётных данных — необходимый первый шаг, он не устраняет потенциальные долгосрочные риски, связанные с информацией, уже находящейся в руках злоумышленников».
Компания SonicWall заявила, что уведомила правоохранительные органы, а также затронутых клиентов и партнёров. Клиенты могут проверить, указаны ли затронутые серийные номера в своей учётной записи MySonicWall, а тем, кто находится в зоне риска, рекомендуется сбросить учётные данные , локализовать, устранить уязвимость и отслеживать журналы на предмет необычной активности.
По словам Санчеса, многие поставщики позволяют клиентам хранить данные о конфигурации на порталах, управляемых облаком, что влечет за собой неизбежные риски.
«Поставщики должны постоянно взвешивать предоставляемые удобства и потенциальные последствия компрометации, а клиенты должны требовать от них строгой прозрачности и принятия мер по устранению последствий в случае возникновения инцидентов», — добавил он.
Организации, использующие брандмауэры SonicWall, годами сталкивались с постоянными атаками, о чем свидетельствуют 14 упоминаний поставщика в каталоге известных эксплуатируемых уязвимостей CISA с конца 2021 года. По данным CISA, девять из этих дефектов используются в кампаниях по вымогательству, включая недавнюю волну из примерно 40 атак с использованием вымогателя Akira .
Фицджеральд заявил, что SonicWall стремится к полной прозрачности и что компания будет делиться новостями по мере продолжения расследования.
Службы безопасности компании начали расследование подозрительной активности и подтвердили, что атака произошла «в последние несколько дней», сообщил CyberScoop Брет Фицджеральд, старший директор по глобальным коммуникациям SonicWall. «Наше расследование показало, что менее 5% наших установленных брандмауэров имели резервные файлы настроек брандмауэра, хранящиеся в облаке для устройств, к которым имели доступ злоумышленники».
Хотя клиенты SonicWall неоднократно сталкивались с активно эксплуатируемыми уязвимостями в устройствах SonicWall, эта атака знаменует собой новую болевую точку — атаку на систему, взаимодействующую с клиентами, которую контролирует компания.
Это различие имеет важное значение, поскольку оно указывает на наличие системных недостатков безопасности во всех линейках продуктов, внутренней инфраструктуре и практиках SonicWall.
«Подобные инциденты подчеркивают важность того, чтобы поставщики решений безопасности — не только SonicWall — придерживались тех же или более высоких стандартов, которые они ожидают от своих клиентов», — рассказал CyberScoop Маурисио Санчес, старший директор по корпоративной безопасности и исследованиям сетей в Dell'Oro Group.
«Когда взлом происходит в системе, которой управляет поставщик, а не в продукте, развернутом заказчиком, последствия могут быть особенно разрушительными, поскольку на карту поставлено доверие к более широкой экосистеме поставщика», — добавил он.
SonicWall признала, что потенциальный риск для клиентов весьма серьёзный. «Хотя файлы содержали зашифрованные пароли, они также содержали информацию, которая могла бы облегчить злоумышленникам использование брандмауэров», — сказала Фицджеральд.
«Это не было связано с программой-вымогателем или чем-то подобным в случае SonicWall, а скорее с серией атак методом подбора паролей по учетным записям, направленных на получение доступа к файлам настроек, хранящимся в резервной копии, для возможного дальнейшего использования злоумышленниками», — добавил он.
SonicWall не назвала имена ответственных за атаку, добавив, что не обнаружила доказательств утечки украденных файлов в интернете. Компания заявила, что отключила доступ к функции резервного копирования, приняла меры по укреплению безопасности своих систем на уровне инфраструктуры и процессов и начала расследование при содействии консалтинговой компании, специализирующейся на реагировании на инциденты.
Санчес назвал взлом серьёзной проблемой. «Эти файлы часто содержат подробную архитектуру сети, правила и политики, которые могут предоставить злоумышленникам план действий для более эффективного использования уязвимостей», — сказал он. «Хотя сброс учётных данных — необходимый первый шаг, он не устраняет потенциальные долгосрочные риски, связанные с информацией, уже находящейся в руках злоумышленников».
Компания SonicWall заявила, что уведомила правоохранительные органы, а также затронутых клиентов и партнёров. Клиенты могут проверить, указаны ли затронутые серийные номера в своей учётной записи MySonicWall, а тем, кто находится в зоне риска, рекомендуется сбросить учётные данные , локализовать, устранить уязвимость и отслеживать журналы на предмет необычной активности.
По словам Санчеса, многие поставщики позволяют клиентам хранить данные о конфигурации на порталах, управляемых облаком, что влечет за собой неизбежные риски.
«Поставщики должны постоянно взвешивать предоставляемые удобства и потенциальные последствия компрометации, а клиенты должны требовать от них строгой прозрачности и принятия мер по устранению последствий в случае возникновения инцидентов», — добавил он.
Организации, использующие брандмауэры SonicWall, годами сталкивались с постоянными атаками, о чем свидетельствуют 14 упоминаний поставщика в каталоге известных эксплуатируемых уязвимостей CISA с конца 2021 года. По данным CISA, девять из этих дефектов используются в кампаниях по вымогательству, включая недавнюю волну из примерно 40 атак с использованием вымогателя Akira .
Фицджеральд заявил, что SonicWall стремится к полной прозрачности и что компания будет делиться новостями по мере продолжения расследования.
