Компания SonicWall предупредила клиентов о необходимости как можно скорее сменить учетные данные. Дело в том, что в результате кибератаки, затронувшей аккаунты MySonicWall, оказались скомпрометированы файлы резервных копий конфигураций файрволов.

SonicWall сообщает, что после обнаружения инцидента доступ атакующих к системам компании был заблокирован. В настоящее время производитель сотрудничает с агентствами по кибербезопасности и правоохранительными органами для расследования последствий взлома.

«В рамках нашего стремления к прозрачности мы уведомляем вас об инциденте, который привел к компрометации файлов резервных копий конфигураций файрволов, хранившихся в некоторых аккаунтах MySonicWall, — сообщили в компании. — Доступ к скомпрометированным файлам конфигураций может значительно облегчить эксплуатацию файрволов для атакующих».

Последствия инцидента действительно могут оказаться серьезными, поскольку утекшие бэкапы могут дать злоумышленникам доступ к учетным данным и токенам для любых сервисов, работающих на устройствах SonicWall в сетях жертв.

Представители SonicWall опубликовали подробные рекомендации, чтобы помочь администраторам минимизировать риски эксплуатации украденной конфигурации. В частности, рекомендуется как можно скорее перенастроить потенциально скомпрометированные секреты и пароли, а также следить за возможной активностью атакующих.

«Обратите внимание, что пароли, общие секреты и ключи шифрования, настроенные в SonicOS, возможно, потребуется сменить в других местах, например у интернет-провайдера, поставщика Dynamic DNS, почтового провайдера, удаленного IPSec VPN-пира или LDAP/RADIUS-сервера — и это лишь несколько примеров», — подчеркивают в компании.

Представители SonicWall сообщили изданию Bleeping Computer, что инцидент затронул менее 5% файрволов SonicWall, и атакующие нацелили брутфорс-атаки на API-сервис для облачных бэкапов.