Хакер #316. Android по-хакерски
Компания SonicWall предупредила клиентов о необходимости как можно скорее сменить учетные данные. Дело в том, что в результате кибератаки, затронувшей аккаунты MySonicWall, оказались скомпрометированы файлы резервных копий конфигураций файрволов.
SonicWall сообщает, что после обнаружения инцидента доступ атакующих к системам компании был заблокирован. В настоящее время производитель сотрудничает с агентствами по кибербезопасности и правоохранительными органами для расследования последствий взлома.
«В рамках нашего стремления к прозрачности мы уведомляем вас об инциденте, который привел к компрометации файлов резервных копий конфигураций файрволов, хранившихся в некоторых аккаунтах MySonicWall, — сообщили в компании. — Доступ к скомпрометированным файлам конфигураций может значительно облегчить эксплуатацию файрволов для атакующих».
Последствия инцидента действительно могут оказаться серьезными, поскольку утекшие бэкапы могут дать злоумышленникам доступ к учетным данным и токенам для любых сервисов, работающих на устройствах SonicWall в сетях жертв.
Представители SonicWall опубликовали подробные рекомендации, чтобы помочь администраторам минимизировать риски эксплуатации украденной конфигурации. В частности, рекомендуется как можно скорее перенастроить потенциально скомпрометированные секреты и пароли, а также следить за возможной активностью атакующих.
«Обратите внимание, что пароли, общие секреты и ключи шифрования, настроенные в SonicOS, возможно, потребуется сменить в других местах, например у интернет-провайдера, поставщика Dynamic DNS, почтового провайдера, удаленного IPSec VPN-пира или LDAP/RADIUS-сервера — и это лишь несколько примеров», — подчеркивают в компании.
Представители SonicWall сообщили изданию Bleeping Computer, что инцидент затронул менее 5% файрволов SonicWall, и атакующие нацелили брутфорс-атаки на API-сервис для облачных бэкапов.
«Наше расследование показало, что менее 5% от общего числа наших файрволов имели резервные копии конфигураций в облаке, к которым получили доступ атакующие. Хотя файлы содержали зашифрованные пароли, в них также была информация, которая могла облегчить взлом файрволов, — пояснили в компании. — В настоящее время нам неизвестно о публикации этих файлов атакующими в открытом доступе. Это был не вымогательский инцидент и не другая похожая атака на SonicWall. Скорее речь о серии брутфорс-атак, направленных на отдельные аккаунты с целью получения доступа к конфигурационным файлам из резервных копий для их дальнейшего использования».