La compañía reconoció que atacantes accedieron a todos los archivos de configuración almacenados en su servicio de copias de seguridad en la nube, afectando a la totalidad de los clientes que lo utilizaban. Tras la investigación junto a Mandiant, SonicWall emitió nuevas guías de remediación y recomendó restablecer todas las credenciales y claves asociadas.
SonicWall confirmó que un reciente incidente de seguridad en su plataforma de respaldo en la nube afectó a todos los clientes que utilizaron el servicio, tras concluir una investigación realizada en conjunto con la firma de respuesta a incidentes Mandiant. Los atacantes lograron acceder a los archivos de configuración de firewall almacenados en el servicio, según comunicó la empresa en un boletín actualizado hace algunos días atrás.
Inicialmente, la compañía había estimado que la brecha solo había comprometido los respaldos de “menos del 5%” de su base de instalaciones. Sin embargo, tras el análisis forense se constató que el alcance fue mucho mayor. “El ataque afectó los archivos de configuración de firewall de todos los clientes que usaron el servicio de respaldo en la nube de SonicWall”, señaló la empresa.
De acuerdo con declaraciones de Cory Clark, vicepresidente de Operaciones de Amenazas de SonicWall, emitidas al medio Help Net Security, los atacantes accedieron al sistema mediante ataques de fuerza bruta dirigidos al API del servicio de respaldo en la nube. Aún no se ha determinado la fecha exacta en que comenzó la intrusión.
Los archivos comprometidos contienen información sensible sobre la configuración de red, reglas de firewall, servicios de seguridad habilitados, políticas VPN, cuentas de usuario y contraseñas. Aunque los datos de autenticación están cifrados con AES-256 en dispositivos de generación 7 y 3DES en generación 6, SonicWall advirtió que la posesión de estos archivos “podría facilitar ataques dirigidos”, ya que incluyen información técnica que puede ser aprovechada por actores maliciosos.
La empresa instó a todos los clientes que alguna vez usaron el servicio a seguir el procedimiento de restablecimiento de credenciales disponible en el portal MySonicWall, el cual incluye pasos detallados para actualizar contraseñas de usuarios locales, claves API, tokens de autenticación, contraseñas de servidores LDAP o RADIUS, y secretos compartidos en políticas IPSec y GroupVPN. También se recomienda actualizar las claves de integración con AWS, las credenciales de SNMPv3 y las contraseñas de conexiones WAN.
SonicWall añadió que los usuarios pueden verificar si sus dispositivos están afectados ingresando en MySonicWall, luego a Product Management, y finalmente en Issue List, donde encontrarán un listado actualizado y priorizado por nivel de exposición: “Active – High Priority” para dispositivos con servicios expuestos a Internet, “Active – Lower Priority” para los no expuestos y “Inactive” para los que no se comunican con la nube hace más de 90 días.
Clark enfatizó que las cuentas de administrador integradas no se incluyen en los archivos de respaldo, pero recomendó igualmente actualizarlas como parte de las mejores prácticas de seguridad.
Aunque SonicWall aseguró haber implementado medidas adicionales de endurecimiento y monitoreo en su infraestructura, la compañía no especificó cuándo se iniciaron los ataques ni cuántos clientes han completado la remediación.