Entre les attaquants exploitant les vulnérabilités de 0 jour et des jours dans les pare-feu de l’entreprise et les appareils d’accès mobile sécurisé, Sonicwall et ses clients ont connu une année difficile.
Et, malheureusement pour eux, les troubles ne sont pas terminés: les attaquants inconnus ont réussi à se frayer un chemin dans le service de sauvegarde cloud de Sonicwall pour les pare-feu et à accéder aux fichiers de préférence de pare-feu de sauvegarde pour «moins de 5% de notre base d’installation de pare-feu», a divulgué Sonicwall mercredi.
«Nous ne sommes pas actuellement conscients que ces fichiers soient divulgués en ligne par des acteurs de la menace. Ce n’était pas un ransomware ou un événement similaire pour Sonicwall, mais il s’agissait d’une série d’attaques par force brute visant à accéder aux fichiers de préférence stockés dans la sauvegarde pour une utilisation ultérieure par les acteurs de la menace.»
Un fichier de préférences de pare-feu Sonicwall Backup contient la configuration complète du pare-feu au moment de l’exportation:
- Paramètres du système et de l’appareil
- Configurations réseau
- Configurations et règles de routage
- Règles de pare-feu et services de sécurité activés
- Configuration, paramètres et stratégies VPN
- Comptes d’utilisateurs et de groupe, informations d’identification, politiques de mot de passe, etc.
«Alors que les informations d’identification dans les fichiers ont été cryptées, le [accessed backup firewall preference files] Comprend également des informations qui pourraient faciliter l’exploitation des attaquants d’exploiter le pare-feu connexe », a noté la société.
Sonicwall a exhorté les clients à se connecter au portail MySonicWall et à vérifier si les sauvegardes cloud sont activées pour les pare-feu qu’ils utilisent.
S’ils ne l’ont pas fait, cet incident ne les affectera pas, mais s’ils l’ont fait, ils doivent suivre les directives de confinement et de correction, et ce manuel de correction.
Les directives sont étendues et Sonicwall a essayé de faciliter le processus en fournissant de nouveaux fichiers de préférences pour l’importation dans les pare-feu affectés.
Ceux-ci sont basés sur le dernier fichier de préférences des utilisateurs trouvés dans le stockage cloud, mais avec les mots de passe utilisateur locaux et les touches VPN IPSec randomisées et la réinitialisation de liaison TOTP (si elle a été activée).
«Les clés pré-partagées IPSec VPN devront être reconfigurées manuellement pour restaurer les fonctionnalités après l’importation des préférences. Les utilisateurs avec les liaisons TOTP leur feront réinitialiser avec leur mot de passe», prévient la société et conseille aux clients d’importer les préférences «lors d’une fenêtre de maintenance, de l’ort-heure ou pendant les périodes d’activité minimale.
Néanmoins, tout cela pourrait prendre un certain temps et, selon le nombre de pare-feu qu’une organisation utilise, cela pourrait être une entreprise assez longue.
Abonnez-vous à notre alerte e-mail de Breaking News pour ne jamais manquer les dernières violations, vulnérabilités et menaces de cybersécurité. Abonnez-vous ici!
