Поставщик, подвергшийся атаке методом подбора пароля, сообщил в среду, что файлы конфигурации брандмауэров каждого клиента SonicWall , использовавшего облачный сервис резервного копирования, были раскрыты.
Расследование, проведённое при поддержке Mandiant, подтвердило полную компрометацию, произошедшую в результате атаки неустановленных злоумышленников на клиентскую систему управления SonicWall. Ранее компания заявляла, что менее 5% её установленного оборудования хранят резервные копии файлов конфигурации брандмауэров в облачном сервисе.
SonicWall не ответила на вопросы о том, насколько широкое влияние на её клиентов было выявлено в ходе расследования, и осталась ли оценка в 5% верной. Изначально компания пересмотрела своё заявление, уточнив, что по состоянию на 17 сентября масштаб воздействия составлял менее 5% брандмауэров, но впоследствии удалила эту информацию из публикации в блоге.
«Расследование подтвердило, что несанкционированная сторона получила доступ к файлам резервных копий конфигурации брандмауэра всех клиентов, которые использовали облачный сервис резервного копирования SonicWall», — говорится в заявлении компании.
Запутанная формулировка вновь вызвала критику со стороны исследователей угроз, которые следили за развитием событий с тех пор, как SonicWall впервые сообщила об атаке .
«Злоумышленники получили доступ к огромному массиву конфиденциальных данных, включая правила брандмауэра, зашифрованные учетные данные, конфигурации маршрутизации и многое другое», — сообщил в электронном письме Райан Дьюхерст, руководитель отдела проактивной аналитики угроз в watchTowr.
«Это поднимает вопросы о том, почему поставщик не внедрил базовые меры защиты, такие как ограничение скорости и более строгий контроль над публичными API», — добавил он.
Клиенты SonicWall на протяжении многих лет сталкиваются с целым рядом активно эксплуатируемых уязвимостей в устройствах SonicWall.
С конца 2021 года в каталог известных эксплуатируемых уязвимостей (KEV) Агентства по кибербезопасности и безопасности инфраструктуры было добавлено 14 дефектов, затрагивающих продукты поставщика. По данным CISA, девять из этих дефектов используются в кампаниях по вымогательству, включая волну из около 40 атак с использованием вируса-вымогателя Akira в период с середины июля по начало августа.
Хотя эти атаки были связаны с эксплуатацией уязвимостей в устройствах SonicWall, последняя атака нанесла прямой удар по внутренней инфраструктуре и практикам SonicWall.
Компания заявила, что уведомила всех затронутых клиентов, выпустила инструменты для обнаружения и устранения угроз, а также призвала всех клиентов войти на платформу MySonicWall.com для проверки потенциального риска.
«Хотя пароли были зашифрованы, у злоумышленников было достаточно времени, чтобы взломать их в офлайн-режиме в удобное для них время», — сказал Дьюхерст.
«Если изначально используемые пароли были слабыми, то почти наверняка у злоумышленника уже есть их версии в открытом виде», — добавил он. «Если злоумышленник не сможет взломать пароли, опасность ещё не миновала, поскольку утечка информации поможет в более сложных целевых атаках».
Компания SonicWall заявила, что внедрила дополнительные меры по усилению безопасности и сотрудничает с Mandiant над улучшением безопасности своей облачной инфраструктуры и систем мониторинга.
Расследование, проведённое при поддержке Mandiant, подтвердило полную компрометацию, произошедшую в результате атаки неустановленных злоумышленников на клиентскую систему управления SonicWall. Ранее компания заявляла, что менее 5% её установленного оборудования хранят резервные копии файлов конфигурации брандмауэров в облачном сервисе.
SonicWall не ответила на вопросы о том, насколько широкое влияние на её клиентов было выявлено в ходе расследования, и осталась ли оценка в 5% верной. Изначально компания пересмотрела своё заявление, уточнив, что по состоянию на 17 сентября масштаб воздействия составлял менее 5% брандмауэров, но впоследствии удалила эту информацию из публикации в блоге.
«Расследование подтвердило, что несанкционированная сторона получила доступ к файлам резервных копий конфигурации брандмауэра всех клиентов, которые использовали облачный сервис резервного копирования SonicWall», — говорится в заявлении компании.
Запутанная формулировка вновь вызвала критику со стороны исследователей угроз, которые следили за развитием событий с тех пор, как SonicWall впервые сообщила об атаке .
«Злоумышленники получили доступ к огромному массиву конфиденциальных данных, включая правила брандмауэра, зашифрованные учетные данные, конфигурации маршрутизации и многое другое», — сообщил в электронном письме Райан Дьюхерст, руководитель отдела проактивной аналитики угроз в watchTowr.
«Это поднимает вопросы о том, почему поставщик не внедрил базовые меры защиты, такие как ограничение скорости и более строгий контроль над публичными API», — добавил он.
Клиенты SonicWall на протяжении многих лет сталкиваются с целым рядом активно эксплуатируемых уязвимостей в устройствах SonicWall.
С конца 2021 года в каталог известных эксплуатируемых уязвимостей (KEV) Агентства по кибербезопасности и безопасности инфраструктуры было добавлено 14 дефектов, затрагивающих продукты поставщика. По данным CISA, девять из этих дефектов используются в кампаниях по вымогательству, включая волну из около 40 атак с использованием вируса-вымогателя Akira в период с середины июля по начало августа.
Хотя эти атаки были связаны с эксплуатацией уязвимостей в устройствах SonicWall, последняя атака нанесла прямой удар по внутренней инфраструктуре и практикам SonicWall.
Компания заявила, что уведомила всех затронутых клиентов, выпустила инструменты для обнаружения и устранения угроз, а также призвала всех клиентов войти на платформу MySonicWall.com для проверки потенциального риска.
«Хотя пароли были зашифрованы, у злоумышленников было достаточно времени, чтобы взломать их в офлайн-режиме в удобное для них время», — сказал Дьюхерст.
«Если изначально используемые пароли были слабыми, то почти наверняка у злоумышленника уже есть их версии в открытом виде», — добавил он. «Если злоумышленник не сможет взломать пароли, опасность ещё не миновала, поскольку утечка информации поможет в более сложных целевых атаках».
Компания SonicWall заявила, что внедрила дополнительные меры по усилению безопасности и сотрудничает с Mandiant над улучшением безопасности своей облачной инфраструктуры и систем мониторинга.
