A SonicWall alertou hoje seus clientes para que redefinam suas credenciais após arquivos de backup de configurações de firewall terem sido expostos em uma violação de segurança que afetou contas do MySonicWall.
Após detectar o incidente, a SonicWall bloqueou o acesso dos invasores aos seus sistemas e está colaborando com agências de cibersegurança e autoridades policiais para investigar o impacto do ataque.
“Como parte do nosso compromisso com a transparência, estamos notificando sobre um incidente que expôs arquivos de backup de configurações de firewall armazenados em algumas contas do MySonicWall”, afirmou a empresa de segurança cibernética nesta quarta-feira (17).
“O acesso a esses arquivos expostos pode facilitar significativamente a exploração dos firewalls por agentes maliciosos.”
As consequências desse vazamento podem ser graves, já que os backups expostos podem conter informações sensíveis, como credenciais e tokens, que dão acesso a serviços executados em dispositivos SonicWall nas redes afetadas.
Para ajudar os administradores, a SonicWall divulgou um guia detalhado com orientações para minimizar os riscos de exploração decorrentes dessa exposição, além de instruções para reconfigurar segredos e senhas potencialmente comprometidos e detectar atividades suspeitas na rede.
“A lista a seguir apresenta uma abordagem estruturada para garantir que todas as senhas, chaves e segredos relevantes sejam atualizados de forma consistente.
Executar essas etapas é fundamental para manter a segurança e proteger a integridade do ambiente SonicWall.
Os itens críticos estão listados primeiro; as demais credenciais devem ser atualizadas quando possível”, alertou a empresa.
“Vale lembrar que senhas, segredos compartilhados e chaves de criptografia configurados no SonicOS também podem precisar ser atualizados em outros sistemas, como provedores de ISP, Dynamic DNS, serviços de e-mail, peers remotos de VPN IPSec ou servidores LDAP/RADIUS, entre outros.”
Em agosto, a SonicWall negou relatos de que o grupo de ransomware Akira estava invadindo firewalls Gen 7 com SSLVPN ativado por meio de um possível zero-day, esclarecendo que o problema estava relacionado à vulnerabilidade
CVE-2024-40766
, uma falha crítica no controle de acesso do SSLVPN no SonicOS, corrigida em novembro de 2024.
Na semana passada, essa teoria foi confirmada quando o Australian Cyber Security Center (ACSC) e a empresa de segurança Rapid7 informaram que o grupo Akira está explorando ativamente a vulnerabilidade
CVE-2024-40766
para comprometer dispositivos SonicWall que não foram atualizados com o patch de segurança.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...