SonicWall insta a los clientes a restablecer sus credenciales después de que los archivos de copia de seguridad de la configuración del firewall se expusen en una violación de seguridad que afecte las cuentas de MySonicWall.
La compañía dijo que recientemente se detectó una actividad sospechosa dirigida al servicio de copia de seguridad de la nube del firewall, con actores de amenazas desconocidos que acceden a los archivos de prioridad de firewall de respaldo almacenados en la nube con menos del 5% de los clientes.
«Las credenciales en el archivo estaban encriptadas, pero el archivo también contiene información que permite a los atacantes aprovechar potencialmente el firewall asociado», dijo la compañía.
La compañía de seguridad de la red dijo que no era consciente que estos archivos fueron filtrados en línea por los actores de amenaza, y agregó que no era un evento de ransomware dirigido a la red.
«De hecho, esta fue una serie de ataques de fuerza bruta destinadas a obtener acceso a archivos preferidos almacenados en copias de seguridad para la posibilidad de un mayor uso por parte de los actores de amenazas». Actualmente se desconoce quién es responsable del ataque.
Como resultado del incidente, la compañía insta a sus clientes a seguir los pasos a continuación –
Inicie sesión en mySonicWall.com y verifique si la copia de seguridad de la nube está habilitada, verifique si el número de serie afectado se marcó en su cuenta. Comience los procedimientos de contención y reparación restringiendo el acceso a los servicios de la WAN, desactivando el acceso a la gestión HTTP/SSH y deshabilitando las revisiones para SSL VPN e IPSEC VPN y OTTP que tienen soporte desapercibido para SSL VPN e IPSEC para SSL VPN e IPSEC para saipands de resets. Actividades inusuales
Además, se recomienda importar archivos de configuración nuevos proporcionados por SonicWall en su firewall. El nuevo archivo de configuración contiene los siguientes cambios –
Las contraseñas aleatorizadas para todos los usuarios locales, si están habilitados, restablezcan el enlace TOTP para restablecer la tecla VPN IPSEC aleatorizada
«Los archivos de configuración modificados proporcionados por SonicWall se crearon a partir de los últimos archivos de configuración en el almacenamiento en la nube». «No use el archivo si el último archivo de configuración no representa la configuración deseada».
Esta divulgación se debe a que los actores de amenaza que pertenecen al grupo de ransomware Akira continúan dirigiéndose a dispositivos de pared sónicos no dirigidos para obtener acceso inicial a la red de destino aprovechando las fallas de seguridad de hace un año.
A principios de esta semana, la compañía de ciberseguridad Huntress detalló un incidente de ransomware Achira que implica la explotación de la VPN de la pared de Sonic, donde los actores de amenaza aprovechan los archivos de texto planos que contienen códigos de recuperación para el software de seguridad (MFA) para reducir la visibilidad del incidente y eliminar la protección del punto final.
«En este incidente, el atacante intentó usar el Código de Recuperación de la Cazadora Expositiva para iniciar sesión en el portal de Huntress, cerrar alertas activas, iniciar una desinstalación del agente de la cazadora EDR, cegar efectivamente las defensas de la organización y seguir vulnerable a los ataques posteriores.
«Este nivel de acceso se puede armarse para deshabilitar las defensas, manipular las herramientas de detección y realizar acciones maliciosas. Las organizaciones deben manejar los códigos de recuperación con la misma sensibilidad que las contraseñas de cuentas privilegiadas».
Source link
