A SonicWall, a hálózati biztonság egyik vezető szereplője, 2023 szeptemberében jelentette be, hogy biztonsági incidens történt, amely során ügyfeleik tűzfal-konfigurációs mentései kerültek illetéktelen kezekbe. A cég azóta részletes vizsgálatot folytatott az események feltárására, amelynek végkövetkeztetése szerint egy állami támogatású hackercsoport állt a támadás mögött.
A támadás háttere és a támadók módszere
2023. szeptember 17-én a SonicWall nyilvánosságra hozta, hogy egy incidens során bizonyos MySonicWall fiókokban tárolt tűzfal-konfigurációs mentésekhez jogosulatlan hozzáférés történt. Ezek a mentések érzékeny adatokat tartalmaznak, például hozzáférési hitelesítő adatokat és tokeneket, amelyek jelentősen megkönnyíthetik a támadók számára az ügyfelek tűzfalainak további kihasználását.
A támadás során az elkövetők egy adott felhőalapú környezethez fértek hozzá egy API-hívás segítségével, így tudták kinyerni a konfigurációs fájlokat. A SonicWall közlése szerint ez az esemény kizárólag erre a felhőszolgáltatásra korlátozódott, és nem érintette a cég termékeit, firmware-jeit vagy más rendszereit.
A Mandiant vizsgálat eredményei
A SonicWall azonnal együttműködött a Mandiant biztonsági szakértőivel, akik alapos vizsgálatot végeztek az incidens kapcsán. A Mandiant megállapította, hogy:
- a támadás mögött egy állami támogatású fenyegető szereplő állt,
- a jogosulatlan hozzáférés kizárólag egy specifikus felhőkörnyezetben tárolt backup fájlokra korlátozódott,
- a SonicWall termékei, firmware-jei, forráskódjai és ügyfélhálózatok nem sérültek vagy kerültek veszélybe.
A cég hangsúlyozta, hogy semmilyen más SonicWall rendszer vagy eszköz nem volt érintett az incidensben.
Ügyfélbiztonsági intézkedések és ajánlások
A támadás nyilvánosságra kerülése után a SonicWall haladéktalanul javasolta ügyfeleinek az alábbi biztonsági lépések megtételét:
- MySonicWall fiók hitelesítő adatainak visszaállítása,
- ideiglenes hozzáférési kódok megváltoztatása,
- LDAP-, RADIUS- vagy TACACS+ szerverek jelszavainak frissítése,
- L2TP/PPPoE/PPTP WAN interfészek jelszavainak módosítása,
- IPSec site-to-site és GroupVPN szabályzatokban használt megosztott titkok cseréje.
Ezekkel az intézkedésekkel csökkenthető volt annak kockázata, hogy a támadók további hozzáférést szerezzenek az ügyfelek hálózataihoz.
A biztonsági incidens kiterjedtsége és további fejlemények
2023. október 9-én frissítést adott ki a SonicWall arról, hogy az incidens minden olyan ügyfelet érintett, akik a cég felhőalapú backup szolgáltatását használták tűzfal-konfigurációik tárolására. Ugyanakkor megerősítették, hogy az esemény kizárólag egy meghatározott környezetre korlátozódott, így termékeik és szolgáltatásaik biztonsága nem sérült.
Továbbá a vállalat cáfolta bármilyen kapcsolatot az Akira zsarolóvírus-csoport szeptember végi támadásaival kapcsolatban, amelyek MFA-val védett SonicWall VPN-fiókokat céloztak meg.
Újabb fenyegetések: Huntress jelentése október közepén
2023. október 13-án a Huntress biztonsági cég arról számolt be, hogy megnövekedett rosszindulatú tevékenységet észleltek SonicWall SSLVPN fiókok ellen irányuló támadásokban. Több mint száz fiókot sikerült érvényes hitelesítő adatokkal kompromittálniuk.
Bár ezek az események komoly fenyegetést jelentenek az érintett szervezetek számára, a Huntress nem talált bizonyítékot arra vonatkozóan, hogy ezeknek bármilyen kapcsolata lenne a szeptemberi tűzfal-konfigurációs mentések kiszivárgásával. A SonicWall nem reagált további kérdésekre ezzel kapcsolatban.
Kitekintés: Biztonsági stratégiák 2026-ra – CISO-k tapasztalatai
Az idei költségvetési tervezési időszakban több mint 300 CISO (Chief Information Security Officer) és biztonsági vezető osztotta meg tapasztalatait arról, hogyan tervezik és priorizálják befektetéseiket 2026-ban. Ez az átfogó jelentés lehetőséget nyújt arra, hogy más szakemberek is benchmarkolják stratégiáikat, felismerjék az új trendeket és összehasonlítsák prioritásaikat.