SonicWall’ın Eylül ayında müşterilerin güvenlik duvarı yapılandırma yedek dosyalarını açığa çıkaran güvenlik ihlaline ilişkin araştırması, saldırının arkasında devlet destekli bilgisayar korsanlarının olduğu sonucuna varıyor.
Ağ güvenliği şirketi, Mandiant’ın olay müdahale ekiplerinin, kötü niyetli etkinliğin SonicWall’un ürünleri, donanım yazılımı, sistemleri, araçları, kaynak kodu veya müşteri ağları üzerinde hiçbir etkisinin olmadığını doğruladığını söylüyor.
SonicWall, “Mandiant soruşturması artık tamamlandı. Bulgular, devlet destekli bir tehdit aktörü tarafından gerçekleştirilen kötü niyetli faaliyetin, bir API çağrısı kullanılarak belirli bir bulut ortamındaki bulut yedekleme dosyalarına yetkisiz erişimle izole edildiğini doğruluyor” dedi.
Satıcı, “Olay, SonicWall ürünlerini veya donanım yazılımını etkilemedi. Başka hiçbir SonicWall sistemi veya aracı, kaynak kodu veya müşteri ağı kesintiye uğramadı veya tehlikeye atılmadı” dedi.
17 Eylül’de Amerikan şirketi “belirli MySonicWall hesaplarında saklanan güvenlik duvarı yapılandırması yedek dosyalarını açığa çıkaran bir olayı” açıkladı.
Bir saldırgan, bu dosyalardan erişim kimlik bilgileri ve belirteçler gibi hassas bilgileri çıkarabilir ve bu da müşterinin güvenlik duvarlarından yararlanmalarını “önemli ölçüde kolaylaştırabilir”.
Şirket, müşterilere derhal MySonicWall hesap kimlik bilgilerini, geçici erişim kodlarını, LDAP, RADIUS veya TACACS+ sunucuları için şifreleri, L2TP/PPPoE/PPTP WAN arayüzleri için şifreleri ve IPSec siteden siteye ve GroupVPN politikalarındaki paylaşılan sırları sıfırlamalarını tavsiye etti.
9 Ekim’de yapılan bir güncellemede SonicWall, güvenlik ihlalinin, güvenlik duvarı yapılandırma dosyalarını depolamak için şirketin bulut yedekleme hizmetini kullanan tüm müşterileri etkilediğini belirtti.
Soruşturma artık tamamlandı ve ağ güvenliği sağlayıcısı, ihlalin ortamının belirli bir bölümünü kapsadığını ve ürünlerinin güvenliğini etkilemediğini belirtiyor.
Ayrıca şirket, araştırılan ulus devlet faaliyetinin, Eylül ayı sonlarında MFA korumalı SonicWall VPN hesaplarını hedef alan Akira fidye yazılımı çetesinin saldırılarıyla hiçbir bağlantısının bulunmadığına dair güvence verdi.
Daha yakın zamanda, 13 Ekim’de Huntress, SonicWall SSLVPN hesaplarını hedef alan kötü amaçlı etkinliklerin arttığını ve geçerli kimlik bilgileri kullanarak yüzden fazla hesaptan başarıyla ödün verildiğini bildirdi.
Huntress, bu saldırıları Eylül ayındaki güvenlik duvarı konfigürasyon dosyalarının açığa çıkmasıyla ilişkilendiren herhangi bir kanıt bulamadı ve SonicWall, konuyla ilgili taleplerimize yanıt vermedi.
MCP (Model Bağlam Protokolü), LLM’leri araçlara ve verilere bağlamak için standart haline geldikçe, güvenlik ekipleri bu yeni hizmetleri güvende tutmak için hızla hareket ediyor.
Bu ücretsiz yardımcı sayfa, bugün kullanmaya başlayabileceğiniz en iyi 7 uygulamayı özetlemektedir.