Компания SonicWall сообщила о нарушении безопасности, в ходе которого неизвестные злоумышленники получили доступ к файлам резервных копий конфигураций межсетевых экранов. Атака была осуществлена методом перебора (brute-force) на облачный сервис MySonicWall и затронула менее 5% клиентов компании. Хотя учетные данные в скомпрометированных файлах были зашифрованы, другая содержащаяся в них информация может быть использована для облегчения будущих атак.
По заявлению SonicWall, инцидент не является атакой программы-вымогателя на корпоративную сеть компании. В настоящее время у компании нет данных о том, что скомпрометированные файлы были опубликованы в открытом доступе. Злоумышленники целенаправленно атаковали облачный сервис хранения бэкапов для получения доступа к файлам настроек оборудования клиентов.
SonicWall выпустила ряд рекомендаций для затронутых пользователей. В первую очередь, необходимо немедленно сбросить учетные данные. Для проверки, коснулся ли инцидент конкретного пользователя, следует войти в аккаунт на , проверить, включены ли облачные бэкапы, и убедиться в отсутствии пометок о компрометации на серийных номерах устройств.
Для минимизации рисков компания настоятельно советует ограничить доступ к сервисам из глобальной сети (WAN). Рекомендуется отключить доступ для управления через протоколы HTTP/HTTPS/SSH, а также деактивировать доступ к SSL VPN и IPSec VPN до завершения всех процедур по восстановлению безопасности.
Кроме того, необходимо сбросить все пароли и временные одноразовые пароли (TOTP), сохраненные на межсетевом экране. Пользователям следует тщательно проанализировать системные журналы и последние изменения в конфигурации на предмет выявления любой подозрительной активности, которая могла остаться незамеченной.
Компания предлагает затронутым клиентам импортировать предоставленные ею новые файлы настроек. Однако SonicWall делает важное предостережение: «Если последний файл настроек не соответствует вашим требуемым параметрам, пожалуйста, не используйте его». Это подчеркивает необходимость ручной проверки конфигурации перед ее применением.
Параллельно с этим инцидентом развивается отдельная кампания, проводимая группировкой вымогателей Akira. Эти злоумышленники активно эксплуатируют уязвимость годичной давности в неустановленных устройствах SonicWall для получения первоначального доступа к корпоративным сетям с целью последующего развертывания шифровальщика.
Целью атак Akira являются VPN-устройства SonicWall с уязвимостью, идентифицированной как CVE-2024-40766. Данная уязвимость имеет оценку 9.3 по шкале CVSS, что характеризует ее как критическую.
Специалисты по кибербезопасности из компании Huntress зафиксировали один из таких инцидентов. В ходе атаки злоумышленники Akira обнаружили на скомпрометированном устройстве текстовый файл, содержащий коды восстановления для программного обеспечения безопасности.
Используя эти коды, атакующие смогли обойти многофакторную аутентификацию (MFA), снизить видимость инцидента для средств мониторинга и предпринять попытки удаления защитных решений на конечных точках сети. Данный случай наглядно демонстрирует, насколько опасно хранить конфиденциальную информацию, такую как коды восстановления, в незашифрованном виде. Организации должны обращаться с кодами восстановления с той же степенью осторожности, что и с паролями от привилегированных учетных записей.
Изображение носит иллюстративный характер
По заявлению SonicWall, инцидент не является атакой программы-вымогателя на корпоративную сеть компании. В настоящее время у компании нет данных о том, что скомпрометированные файлы были опубликованы в открытом доступе. Злоумышленники целенаправленно атаковали облачный сервис хранения бэкапов для получения доступа к файлам настроек оборудования клиентов.
SonicWall выпустила ряд рекомендаций для затронутых пользователей. В первую очередь, необходимо немедленно сбросить учетные данные. Для проверки, коснулся ли инцидент конкретного пользователя, следует войти в аккаунт на , проверить, включены ли облачные бэкапы, и убедиться в отсутствии пометок о компрометации на серийных номерах устройств.
Для минимизации рисков компания настоятельно советует ограничить доступ к сервисам из глобальной сети (WAN). Рекомендуется отключить доступ для управления через протоколы HTTP/HTTPS/SSH, а также деактивировать доступ к SSL VPN и IPSec VPN до завершения всех процедур по восстановлению безопасности.
Кроме того, необходимо сбросить все пароли и временные одноразовые пароли (TOTP), сохраненные на межсетевом экране. Пользователям следует тщательно проанализировать системные журналы и последние изменения в конфигурации на предмет выявления любой подозрительной активности, которая могла остаться незамеченной.
Компания предлагает затронутым клиентам импортировать предоставленные ею новые файлы настроек. Однако SonicWall делает важное предостережение: «Если последний файл настроек не соответствует вашим требуемым параметрам, пожалуйста, не используйте его». Это подчеркивает необходимость ручной проверки конфигурации перед ее применением.
Параллельно с этим инцидентом развивается отдельная кампания, проводимая группировкой вымогателей Akira. Эти злоумышленники активно эксплуатируют уязвимость годичной давности в неустановленных устройствах SonicWall для получения первоначального доступа к корпоративным сетям с целью последующего развертывания шифровальщика.
Целью атак Akira являются VPN-устройства SonicWall с уязвимостью, идентифицированной как CVE-2024-40766. Данная уязвимость имеет оценку 9.3 по шкале CVSS, что характеризует ее как критическую.
Специалисты по кибербезопасности из компании Huntress зафиксировали один из таких инцидентов. В ходе атаки злоумышленники Akira обнаружили на скомпрометированном устройстве текстовый файл, содержащий коды восстановления для программного обеспечения безопасности.
Используя эти коды, атакующие смогли обойти многофакторную аутентификацию (MFA), снизить видимость инцидента для средств мониторинга и предпринять попытки удаления защитных решений на конечных точках сети. Данный случай наглядно демонстрирует, насколько опасно хранить конфиденциальную информацию, такую как коды восстановления, в незашифрованном виде. Организации должны обращаться с кодами восстановления с той же степенью осторожности, что и с паролями от привилегированных учетных записей.
