SonicWall insta a sus clientes a restablecer sus credenciales tras la
exposición de los archivos de copia de seguridad de la configuración de su
firewall en una brecha de seguridad que afectó a las cuentas de MySonicWall.
La compañía afirmó haber detectado recientemente actividad sospechosa dirigida
al servicio de copias de seguridad en la nube para firewalls, y que agentes de
amenazas desconocidos accedieron a los archivos de preferencias del firewall
de copia de seguridad almacenados en la nube para menos del 5% de sus
clientes.
«Si bien las credenciales de los archivos estaban cifradas, estos también
incluían información que podría facilitar a los atacantes la explotación del
firewall»,
declaró la compañía.
La compañía afirmó no tener conocimiento de que los agentes de amenazas
hayan filtrado alguno de estos archivos en línea,
y añadió que no se trató de un ataque de ransomware dirigido a su red.
«Se trató, más bien, de una serie de ataques de fuerza bruta destinados a
obtener acceso a los archivos de preferencias almacenados en la copia de
seguridad para su posible uso posterior por parte de agentes de amenazas», señaló. Actualmente se desconoce la responsabilidad del ataque.
Como resultado del incidente,
la compañía insta a los clientes
a seguir los siguientes pasos:
-
Iniciar sesión en MySonicWall.com y
verificar si las copias de seguridad en la nube están habilitadas. - Verificar si los números de serie afectados se han marcado en las cuentas.
-
Iniciar procedimientos de contención y remediación limitando el acceso a los
servicios desde la WAN, desactivando el acceso a la administración
HTTP/HTTPS/SSH, deshabilitando el acceso a SSL VPN e IPSec VPN,
restableciendo las contraseñas y los TOTP guardados en el firewall, y
revisando los registros y los cambios de configuración recientes para
detectar actividad inusual.
Además, se
recomienda
a los clientes afectados que importen los nuevos archivos de preferencias
proporcionados por SonicWall a los firewalls.
El nuevo archivo de preferencias incluye los siguientes cambios:
- Contraseña aleatoria para todos los usuarios locales.
- Restablecer la vinculación TOTP, si está habilitada.
- Claves aleatorias de VPN IPSec.
«El archivo de preferencias modificado proporcionado por SonicWall se creó
a partir del último archivo de preferencias encontrado en el almacenamiento
en la nube», indicaba.
«Si el último archivo de preferencias no representa la configuración
deseada, no lo utilice».
La revelación se produce mientras los actores de amenazas afiliados al grupo
de
ransomware Akira siguen atacando dispositivos SonicWall sin parches
para obtener acceso inicial a las redes objetivo mediante la explotación de
una falla de seguridad de un año de antigüedad (CVE-2024-40766, CVSS: 9,3).
A principios de esta semana, la empresa de ciberseguridad
Huntress detalló un incidente de ransomware Akira que involucraba la explotación de las VPN de SonicWall. En este incidente,
los actores de amenazas utilizaron un archivo de texto sin formato que
contenía códigos de recuperación de su software de seguridad para eludir la
autenticación multifactor (MFA), suprimir la visibilidad del incidente e
intentar eliminar las protecciones de los endpoints.
Fuente:
THN