La compañía de ciberseguridad confirmó que menos del 5% de sus dispositivos se vieron afectados, aunque advierte que los archivos expuestos podrían facilitar ataques contra sus clientes.
SonicWall emitió este miércoles una advertencia a sus usuarios luego de detectar que archivos de respaldo de configuración de firewalls almacenados en cuentas de MySonicWall quedaron expuestos en un incidente de seguridad. La empresa subrayó que, aunque los archivos contenían contraseñas cifradas, también incluían datos que “podrían facilitar la explotación de firewalls por parte de actores maliciosos”.
Medios especializado indican que el ataque se habría centrado en el servicio de copias de seguridad en la nube y que se ejecutó mediante intentos de fuerza bruta contra la API de acceso.
Según comentarios de un portavoz de la compañía y que recoge el medio BleepingComputer, la investigación de SonicWall indica “que menos del 5% de la base instalada de firewalls tenía archivos de respaldo almacenados en la nube a los que accedieron los actores de amenazas”. El vocero de la empresa también aclaró que no se trató de un ataque de ransomware ni de una filtración masiva, indicando que desconocía su los archivos fueron publicados en línea.
Para contener la situación, SonicWall bloqueó el acceso de los atacantes a sus e indicó que estaba colaborando con agencias de ciberseguridad y fuerzas del orden. Además, publicó una guía detallada para ayudar a administradores a reducir riesgos, restablecer contraseñas y detectar actividad sospechosa en sus redes.
Entre las principales recomendaciones, entregadas por la compañía, está la deshabilitación o restricción al acceso a servicios desde la WAN antes de reiniciar las credenciales. Luego, es necesario restablecer contraseñas, claves API y tokens de autenticación de usuarios, cuentas VPN y servicios vinculados.
SonicWall recordó que algunos parámetros configurados en SonicOS, como contraseñas compartidas o claves de cifrado, deben actualizarse también en proveedores externos —ISP, DNS dinámico, correo electrónico, VPN remota o servidores LDAP/RADIUS— para garantizar la continuidad del servicio.
La guía también incluye una la lista completa de credenciales que deben restablecerse, a fin de facilitar el trabajo de los administradores.
De momento, SonicWall insiste en que la exposición de respaldos en MySonicWall no tiene relación con campañas de ransomware, sino con ataques dirigidos a obtener archivos de preferencia de firewalls. Sin embargo, reconoce que la información extraída podría representar un riesgo si los administradores no aplican de inmediato las medidas de seguridad recomendadas.