SonicWall insta a los clientes a restablecer las credenciales después de que sus archivos de respaldo de la configuración del firewall quedaran expuestos en una brecha de seguridad que afectó a las cuentas de MySonicWall.
La compañía dijo que recientemente detectó actividades sospechosas dirigidas al servicio de respaldo en la nube para firewalls, y que actores de amenazas desconocidos accedieron a los archivos de preferencias de firewall de respaldo almacenados en la nube para menos del 5% de sus clientes.
«Si bien las credenciales de los archivos estaban cifradas, los archivos también incluían información que podría facilitar a los atacantes la posible explotación del firewall relacionado», dijo la empresa dijo .
La empresa de seguridad de redes dijo que no tiene conocimiento de que los actores de la amenaza hayan filtrado ninguno de estos archivos en Internet, y añadió que no se trataba de un ataque de ransomware dirigido a su red.
«Más bien, se trataba de una serie de ataques de fuerza bruta destinados a obtener acceso a los archivos de preferencias almacenados en la copia de seguridad para su posible uso posterior por parte de los actores de amenazas», señaló. Actualmente no se sabe quién es el responsable del ataque.
Como consecuencia del incidente, la empresa está instando los clientes deben seguir los pasos que se indican a continuación -
- Inicie sesión en mySonicWall.com y compruebe si las copias de seguridad en la nube están habilitadas
- Verifique si los números de serie afectados se han marcado en las cuentas
- Inicie procedimientos de contención y corrección limitando el acceso a los servicios desde la WAN, desactivando el acceso a la administración de HTTP/HTTPS/SSH, deshabilitando el acceso a la VPN SSL y a la VPN con IPSec, restableciendo las contraseñas y los TOTP guardados en el firewall y revisando los registros y los cambios de configuración recientes para detectar actividades inusuales
Además, los clientes afectados también han sido recomendado para importar archivos de preferencias nuevos proporcionados por SonicWall a los firewalls. El nuevo archivo de preferencias incluye los siguientes cambios:
- Contraseña aleatoria para todos los usuarios locales
- Restablecer el enlace TOTP, si está activado
- Claves VPN IPSec aleatorias
«El archivo de preferencias modificado proporcionado por SonicWall se creó a partir del último archivo de preferencias que se encuentra en el almacenamiento en la nube», afirma. «Si el archivo de preferencias más reciente no representa la configuración deseada, no lo utilice».
La revelación se produce cuando los actores de amenazas afiliados al grupo de ransomware Akira han continuo atacar dispositivos SonicWall sin parches para obtener un acceso inicial a las redes objetivo aprovechando una falla de seguridad de hace un año (CVE-2024-40766, puntuación CVSS: 9,3).
A principios de esta semana, la empresa de ciberseguridad Huntress detalló un Incidente de ransomware en Akira que implicaba la explotación de las VPN de SonicWall, en las que los actores de la amenaza utilizaban un archivo de texto sin formato que contenía los códigos de recuperación de su software de seguridad para eludir la autenticación multifactor (MFA), suprimir la visibilidad de los incidentes e intentar eliminar las protecciones de los terminales.
«En este incidente, el atacante utilizó los códigos de recuperación de Huntress expuestos para iniciar sesión en el portal de Huntress, cerrar las alertas activas e iniciar la desinstalación de los agentes de Huntress EDR, con lo que intentó cegar las defensas de la organización y dejarla vulnerable a los ataques posteriores», dijeron los investigadores Michael Elford y Chad Hudson dijo .
«Este nivel de acceso se puede utilizar como arma para desactivar las defensas, manipular las herramientas de detección y ejecutar más acciones maliciosas. Las organizaciones deben tratar los códigos de recuperación con la misma sensibilidad que las contraseñas de las cuentas privilegiadas».