Sonicwall, güvenlik duvarı yapılandırma yedekleme dosyaları MySonicWall hesaplarını etkileyen bir güvenlik ihlalinde ortaya çıktıktan sonra müşterileri kimlik bilgilerini sıfırlamaya çağırıyor.
Şirket, yakın zamanda güvenlik duvarları için bulut yedekleme hizmetini hedefleyen şüpheli etkinlikleri tespit ettiğini ve bilinmeyen tehdit aktörlerinin, müşterilerinin% 5’inden daha azı için bulutta depolanan yedek güvenlik duvarı tercih dosyalarına eriştiğini söyledi.
Şirket, “Dosyalardaki kimlik bilgileri şifrelenirken, dosyalar ayrıca saldırganların ilgili güvenlik duvarından potansiyel olarak yararlanmasını kolaylaştırabilecek bilgiler de içeriyordu.” Dedi.
Ağ güvenlik şirketi, bu dosyaların hiçbirinin tehdit aktörleri tarafından çevrimiçi sızdırıldığının farkında olmadığını ve bunun ağını hedefleyen bir fidye yazılımı etkinliği olmadığını da sözlerine ekledi.
“Daha ziyade bu, tehdit aktörleri tarafından potansiyel daha fazla kullanım için yedekte depolanan tercih dosyalarına erişim sağlamayı amaçlayan bir dizi kaba kuvvet saldırısıydı.” Şu anda saldırıdan kimin sorumlu olduğu bilinmemektedir.
Olay sonucunda şirket müşterileri aşağıdaki adımları izlemeye çağırıyor –
- MySonicwall.com’a giriş yapın ve bulut yedeklemelerinin etkin olup olmadığını doğrulayın
- Etkilenen seri numaralarının hesaplarda işaretlenip işaretlenmediğini doğrulayın
- WAN’dan gelen hizmetlere erişimi sınırlandırarak, HTTP/HTTPS/SSH yönetimine erişimi kapatarak, SSL VPN ve IPSEC VPN’ye erişimi devre dışı bırakarak, güvenlik duvarına kaydedilen şifreleri ve TOTP’leri ve sonlandırılmayan etkinlikler için günlükleri gözden geçirerek sınırlama ve iyileştirme prosedürlerini başlatın.
Buna ek olarak, etkilenen müşterilerin Sonicwall tarafından sağlanan taze tercih dosyalarını güvenlik duvarlarına aktarmaları önerilmiştir. Yeni Tercihler dosyası aşağıdaki değişiklikleri içerir –
- Tüm yerel kullanıcılar için randomize şifre
- Etkinse TOTP bağlanmasını sıfırlayın
- Randomize IPSEC VPN anahtarları
“Sonicwall tarafından sağlanan değiştirilmiş tercihler dosyası, bulut depolamasında bulunan en son tercihler dosyasından oluşturuldu.” Dedi. “En son tercihler dosyası istediğiniz ayarları temsil etmiyorsa, lütfen dosyayı kullanmayın.”
Açıklama, Akira Ransomware Group’a bağlı tehdit aktörlerinin, bir yıllık güvenlik kusurundan yararlanarak hedef ağlara ilk erişim elde etmek için açılmamış Sonicwall cihazlarını hedeflemeye devam ettiği için geliyor (CVE-2024-40766, CVSS skoru: 9.3).
Bu haftanın başlarında, siber güvenlik şirketi Huntress, tehdit aktörlerinin çok faktörlü kimlik doğrulamasını (MFA) atlamak için güvenlik yazılımının kurtarma kodlarını içeren bir düz metin dosyasını içeren bir düz metin dosyasını içeren bir Akira fidye yazılımı olayı detaylandırdı.
Araştırmacılar Michael Elfor ve takip saldırılarına etkili bir şekilde, “Bu olayda, saldırgan, Huntress portalına giriş yapmak, aktif uyarıları yakınlaştırmak ve Huntress EDR ajanlarının kaldırılmasını başlatmak ve onu takip eden saldırılara karşı savunmasız bırakmaya çalışan açık saldırılara başlamak için maruz kalan avcı kurtarma kodlarını kullandı.” Dedi.
“Bu erişim seviyesi, savunmaları devre dışı bırakmak, algılama araçlarını manipüle etmek ve daha fazla kötü niyetli işlem yürütmek için silahlandırılabilir. Kuruluşlar kurtarma kodlarını ayrıcalıklı hesap şifreleriyle aynı hassasiyetle ele almalıdır.”