Sonicwall dringt er bij klanten op aan inloggegevens te resetten nadat hun back -upbestanden van de firewall -configuratie zijn blootgesteld in een beveiligingsbreuk die van invloed is op MySonicwall -accounts.
Het bedrijf zei dat het onlangs verdachte activiteiten heeft gedetecteerd die zich richtte op de cloudback -upservice voor firewalls, en dat onbekende dreigingsacteurs toegang hebben tot back -up firewall preferente bestanden opgeslagen in de cloud voor minder dan 5% van zijn klanten.
“Hoewel inloggegevens in de bestanden werden gecodeerd, bevatten de bestanden ook informatie die het voor aanvallers gemakkelijker zou kunnen maken om de gerelateerde firewall mogelijk te exploiteren,” zei het bedrijf.
Het netwerkbeveiligingsbedrijf zei dat het niet op de hoogte is van een van deze bestanden die online door de dreigingsacteurs worden gelekt, en voegde eraan toe dat het geen ransomware -evenement was gericht op zijn netwerk.
“In plaats daarvan was dit een reeks brute-force-aanvallen gericht op het verkrijgen van toegang tot de voorkeursbestanden die zijn opgeslagen in back-up voor potentieel verder gebruik door dreigingsactoren,” merkte het op. Het is momenteel niet bekend wie verantwoordelijk is voor de aanval.
Als gevolg van het incident dringt het bedrijf aan op klanten om de onderstaande stappen te volgen –
- Log in op mysonicwall.com en verifieer of cloudback -ups zijn ingeschakeld
- Controleer of de getroffen serienummers in de accounts zijn gemarkeerd
- Initiërende procedures voor insluiting en sanering initiëren door de toegang tot services van WAN te beperken, de toegang tot HTTP/HTTPS/SSH -management uit te schakelen, de toegang tot SSL VPN en IPSEC VPN uit te schakelen, wachtwoorden en TOTP’s opgeslagen op de firewall en recente configuratiewijzigingen voor ongebruikelijke activiteit
Bovendien zijn getroffen klanten ook aanbevolen om nieuwe voorkeurenbestanden te importeren die SonicWall in de firewalls verstrekt. Het nieuwe voorkeurenbestand bevat de volgende wijzigingen –
- Gerandomiseerd wachtwoord voor alle lokale gebruikers
- Reset TOTP -binding, indien ingeschakeld
- Gerandomiseerde Ipsec VPN -toetsen
“Het gewijzigde voorkeurenbestand van SonicWall is gemaakt van het nieuwste voorkeurenbestand in cloudopslag,” zei het. “Als het nieuwste voorkeurenbestand niet de gewenste instellingen vertegenwoordigt, gebruik dan het bestand niet.”
De openbaarmaking komt als bedreigingsactoren die zijn aangesloten bij de Akira Ransomware Group, zijn blijven richten op niet-gepatchte Sonicwall-apparaten voor het verkrijgen van initiële toegang tot doelwetwerken door een jaar oude beveiligingsfout te exploiteren (CVE-2024-40766, CVSS-score: 9.3).
Eerder deze week beschreef Cybersecurity Company Huntress een Akira-ransomware-incident met betrekking tot de exploitatie van Sonicwall VPN’s waarin de dreigingsactoren een platte tekstbestand bevatten met herstelcodes van zijn beveiligingssoftware om multi-factor-authenticatie (MFA), SUPPRESS INCIENT BESCHIKBAARBAARBAARBAARBAARDE en PROMEN TE PROBEERDE ENDPOINTEN BEWEGEREN BEWEGEREN EN PROMEN TO TOOPPROFTEN BEWEGEREN BEWEGEREN EN PROMEN TO-INDIMPROPPOSSEN.
“Bij dit incident gebruikte de aanvaller blootgestelde Huntress Recovery Codes om in te loggen bij het Huntress Portal, actieve meldingen te sluiten en de verwijdering van jaagtress EDR-agenten te initiëren, die effectief proberen de verdediging van de organisatie te verblinden en kwetsbaar te maken voor vervolgaanvallen,” zeiden onderzoekers Michael Elford en Chad Hudson.
“Dit toegangsniveau kan worden bewapend om verdedigingen uit te schakelen, detectietools te manipuleren en verdere kwaadaardige acties uit te voeren. Organisaties moeten herstelcodes met dezelfde gevoeligheid behandelen als bevoorrechte accountwachtwoorden.”
