Sonicwall bugün müşterileri, güvenlik duvarı yapılandırma yedekleme dosyalarının MySonicWall hesaplarını etkileyen bir güvenlik ihlalinde ortaya çıktıktan sonra kimlik bilgilerini sıfırlamaları konusunda uyardı.
Olayı tespit ettikten sonra Sonicwall, saldırganların sistemlerine erişimini kesti ve saldırının etkisini araştırmak için siber güvenlik ve kolluk kuvvetleri ile işbirliği yapıyor.
Siber güvenlik şirketi Çarşamba günü yaptığı açıklamada, “Şeffaflık konusundaki taahhüdümüzün bir parçası olarak, bazı MySonicWall hesaplarında depolanan güvenlik duvarı yapılandırma yedekleme dosyalarını açığa çıkaran bir olayı bilgilendiriyoruz.” Dedi.
“Maruz kalan güvenlik duvarı yapılandırma dosyalarına erişim, güvenlik duvarlarının kullanılmasını tehdit aktörleri için önemli ölçüde daha kolay hale getirebilecek bilgiler içerir.”
Bu maruz kalan yedeklemeler, tehdit aktörlerine ağlarındaki Sonicwall cihazlarında çalışan herhangi bir veya tüm hizmetler için kimlik bilgileri ve jeton gibi hassas bilgilere erişim sağlayabileceğinden, olayın sonuçları korkunç olabilir.
Sonicwall ayrıca, yöneticilerin ağlarına erişmek, potansiyel olarak uzlaşmış sırları ve şifreleri yeniden yapılandırmak ve ağlarında olası tehdit faaliyetlerini tespit etmek için maruz kalan bir güvenlik duvarı konfigürasyonunun kullanılma riskini en aza indirmelerine yardımcı olmak için ayrıntılı rehberlik yayınlamıştır.
“Aşağıdaki kontrol listesi, ilgili tüm şifrelerin, anahtarların ve sırların tutarlı bir şekilde güncellenmesini sağlamak için yapılandırılmış bir yaklaşım sağlar. Bu adımların gerçekleştirilmesi, sonikwall ortamınızın bütünlüğünü korumaya ve ilk önce listelenmiştir. Kritik öğeler listelenmiştir. Diğer tüm kimlik bilgileri kolaylıkla güncellenmelidir.”
“Sonicos’ta yapılandırılan şifrelerin, paylaşılan sırların ve şifreleme anahtarlarının da ISS, dinamik DNS sağlayıcısı, e -posta sağlayıcısı, uzak IPSEC VPN eşi veya LDAP/Radius sunucusu gibi başka bir yerde güncellenmesi gerekebileceğini lütfen unutmayın.”
Bu rehber, yöneticilere kimlik bilgilerini sıfırlamadan önce WAN’dan cihazdaki hizmetlere erişimi devre dışı bırakmalarını veya kısıtlamalarını tavsiye eder. Ardından, kullanıcılar, VPN hesapları ve hizmetler tarafından kullanılan tüm kimlik bilgilerini, API anahtarlarını ve kimlik doğrulama jetonlarını sıfırlamaları gerekir.
Çalınan yapılandırma dosyaları nedeniyle sıfırlanması gereken hizmetlerin tam bir listesi, bu temel kimlik bilgileri sıfırlama destek bülteninde listelenir.
BleepingComputer olayla ilgili sorularla Sonicwall’a ulaştı, ancak bir yanıt hemen mevcut değildi.
Ağustos ayında Sonicwall, Akira fidye yazılımı çetesinin SSLVPN ile Gen 7 güvenlik duvarlarını, potansiyel bir sıfır gün istismarı kullanılarak etkinleştirdiğini ve Kasım 2024’te patlayan bir SSLVPN erişim kontrolü kusuru olan CVE-2024-4076 ile bağlantılı olduğunu bildirdi.
Geçen hafta, şirketin teorisi, Avustralya Siber Güvenlik Merkezi (ACSC) ve siber güvenlik firması Rapid7, Akira fidye yazılımı çetesinin şimdi CVE-2024-40766 kırılganlığını karşılamayan Sonicwall cihazlarını tehlikeye atmak için kullandığını doğruladığında doğrulandı.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.