SonicWall heeft woensdag bekendgemaakt dat een ongeautoriseerde partij toegang heeft gekregen tot back-upbestanden van de firewallconfiguratie van alle klanten die de cloudback-upservice hebben gebruikt.
“De bestanden bevatten gecodeerde inloggegevens en configuratiegegevens; hoewel de codering van kracht blijft, kan het bezit van deze bestanden het risico op gerichte aanvallen vergroten”, aldus het bedrijf.
Het merkte ook op dat het eraan werkt om alle partners en klanten op de hoogte te stellen, en voegde eraan toe dat het tools heeft uitgebracht om te helpen bij de beoordeling en het herstel van apparaten. Het bedrijf dringt er ook bij gebruikers op aan om in te loggen en hun apparaten te controleren.
De ontwikkeling komt een paar weken nadat SonicWall er bij klanten op aandrong hun inloggegevens opnieuw in te stellen nadat de back-upbestanden van hun firewallconfiguratie waren blootgesteld aan een beveiligingslek dat gevolgen had voor MySonicWall-accounts.
Aan de lijst met getroffen apparaten die beschikbaar zijn op het MySonicWall-portaal is een prioriteitsniveau toegewezen om klanten te helpen bij het prioriteren van herstelinspanningen. De labels zijn als volgt:
- Actief – Hoge prioriteit: apparaten waarop internetgerichte services zijn ingeschakeld
- Actief – Lagere prioriteit: apparaten zonder internetgerichte services
- Inactief: apparaten die al 90 dagen niet naar huis hebben gepingd
De laatste post-mortem markeert een ommekeer ten opzichte van de aanvankelijke beoordeling, toen werd beweerd dat de bedreigingsactoren toegang hadden tot backup-firewallvoorkeurbestanden die in de cloud waren opgeslagen voor minder dan 5% van zijn klanten. Het verklaarde ook dat hoewel de inloggegevens in die bestanden gecodeerd waren, ze ook “informatie bevatten die het voor aanvallers gemakkelijker zou kunnen maken om mogelijk de gerelateerde firewall te misbruiken.”
Het is momenteel niet bekend hoeveel van zijn klanten de cloudback-upservice gebruiken. SonicWall moet nog onthullen wanneer de aanvallen zijn begonnen en wie er achter de activiteit zit. Het bedrijf zegt echter dat het sindsdien zijn infrastructuur heeft ‘verhard’, extra logboekregistratie heeft toegepast en sterkere authenticatiecontroles heeft ingevoerd om herhaling te voorkomen.
Gebruikers wordt geadviseerd de onderstaande stappen met onmiddellijke ingang te volgen:
- Meld u aan bij het MySonicWall.com-account en controleer of er cloudback-ups bestaan voor geregistreerde firewalls
- Als de velden leeg zijn, heeft dit geen gevolgen
- Als velden back-upgegevens bevatten, controleer dan of de betrokken serienummers in het account worden vermeld
- Als er serienummers worden weergegeven, moeten gebruikers de richtlijnen voor insluiting en herstel voor de vermelde firewalls volgen
SonicWall zei dat in gevallen waarin klanten de Cloud Backup-functie hebben gebruikt, maar er geen serienummers worden weergegeven of slechts enkele van de geregistreerde serienummers worden weergegeven, de komende dagen aanvullende richtlijnen zullen worden gegeven.
