A investigação da SonicWall sobre a violação de segurança ocorrida em setembro, que expôs arquivos de backup das configurações de firewalls de clientes, concluiu que hackers patrocinados por governos estavam por trás do ataque.
De acordo com a empresa de segurança de redes, especialistas da Mandiant confirmaram que a atividade maliciosa não afetou os produtos, firmware, sistemas, ferramentas, código-fonte da SonicWall, nem as redes dos clientes.
“A investigação da Mandiant está concluída.
Eles confirmaram que a ação maliciosa — realizada por um ator patrocinado por estado — se restringiu ao acesso não autorizado a arquivos de backup na nuvem, em um ambiente específico, por meio de uma chamada de API”, informou a SonicWall.
“O incidente não impactou os produtos ou firmware da SonicWall.
Nenhum outro sistema, ferramenta, código-fonte ou rede de cliente foi interrompido ou comprometido”, complementou a empresa.
Em 17 de setembro, a companhia americana revelou “um incidente que expôs arquivos de backup das configurações de firewall armazenados em determinadas contas MySonicWall”.
Um invasor poderia extrair desses arquivos informações sensíveis, como credenciais de acesso e tokens, facilitando “de forma significativa” a exploração dos firewalls dos clientes.
A empresa recomendou imediatamente que os clientes resetassem suas credenciais das contas MySonicWall, códigos temporários de acesso, senhas dos servidores LDAP, RADIUS ou TACACS+, senhas das interfaces WAN L2TP/PPPoE/PPTP, além dos segredos compartilhados nas políticas IPSec site-to-site e GroupVPN.
Em uma atualização em 9 de outubro, a SonicWall informou que a violação de segurança afetou todos os clientes que utilizavam o serviço de backup em nuvem para armazenar arquivos de configuração de firewall.
A investigação foi finalizada, e o fornecedor reafirmou que a brecha ficou restrita a uma parte específica do ambiente, sem comprometer a segurança dos seus produtos.
Além disso, a empresa garantiu que a atividade relacionada a grupos patrocinados por nações investigada não tem ligação com os ataques do grupo de ransomware Akira, que, no fim de setembro, mirou contas SonicWall VPN protegidas por MFA.
Mais recentemente, em 13 de outubro, a Huntress reportou aumento nas atividades maliciosas contra contas SonicWall SSLVPN, conseguindo comprometer com sucesso mais de cem delas usando credenciais válidas.
A Huntress não encontrou evidências que conectem esses ataques à exposição dos arquivos de configuração de firewall ocorrida em setembro, e a SonicWall não respondeu às solicitações de esclarecimento sobre o assunto.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...