Yönetilen bir güvenlik hizmetleri sağlayıcısı, SonicWall SSLVPN cihazlarında kimlik bilgisi saldırıları tespit etti.
Huntress tarafından bildirilen saldırılar, SonicWall SSLVPN cihazlarının “yaygın bir şekilde ele geçirilmesini” içeriyor.
Servis sağlayıcı, “Tehdit aktörleri ele geçirilen cihazlarda birden fazla hesapta hızla kimlik doğrulaması yapıyor” dedi. “Bu saldırıların hızı ve ölçeği, saldırganların kaba kuvvet yerine geçerli kimlik bilgilerini kontrol ediyor gibi göründüğünü gösteriyor.”
Rapor SonicWall Yedekleme Tavsiyesini İzliyor
Rapor, yetkisiz bir tarafın, şirketin bulut yedekleme hizmetini kullanan tüm SonicWall müşterilerinin güvenlik duvarı yapılandırma yedekleme dosyalarına eriştiği yönündeki SonicWall uyarısını takip ediyor.
Yapılandırma dosyaları şifrelenmiş kimlik bilgileri ve yapılandırma verileri içeriyor ve şifreleme, kimlik bilgilerinin kötüye kullanılmasını zorlaştırıyor ancak SonicWall yine de “bu dosyalara sahip olmanın hedefli saldırı riskini artırabileceğini” belirtti.
Huntress, kimlik bilgisi saldırılarını SonicWall yedekleme ihlaliyle ilişkilendirecek “hiçbir kanıt” olmadığını söyledi ancak kullanıcıları SonicWall’ın rehberliğini takip etmeye ve ek adımlar atmaya çağırdı.
SonicWall SSLVPN Saldırıları Yaygın
Huntress, SonicWall SSLVPN kimlik bilgisi saldırılarının “birden fazla müşteri ortamında” gerçekleştiğini söyledi.
Saldırı faaliyetinin büyük kısmı 4 Ekim’de başladı ve “kümelenmiş kimlik doğrulama işlemleri sonraki iki gün boyunca gerçekleşti.”
Servis sağlayıcı, 10 Ekim itibarıyla 16 müşteri ortamında 100’den fazla SonicWall SSLVPN hesabının etkilendiğini söyledi. SonicWall cihazlarında IP 202.155.8 kaynaklı kimlik doğrulama girişimleri[.]73.
Hizmet sağlayıcı, “Bazı durumlarda, aktörlerin ağda daha fazla düşmanca faaliyet oluşturmadığı ve kısa bir süre sonra bağlantının kesildiği görüldü” dedi. “Diğer durumlarda, aktörlerin ağ tarama faaliyeti yürüttüğü ve çok sayıda yerel Windows hesabına erişmeye çalıştığı istismar sonrası faaliyete dair kanıtlar vardı.”
SonicWall Kimlik Bilgisi Saldırılarına Karşı Koruma
Huntress tarafından önerilen eylemler şunları içerir:
- Mümkün olan her yerde WAN yönetimini ve uzaktan erişimi kısıtlamak
- Kimlik bilgileri sıfırlanana kadar HTTP, HTTPS, SSH, SSL VPN ve gelen yönetimini devre dışı bırakma veya sınırlama
- Yerel yönetici hesapları, önceden paylaşılan VPN anahtarları, LDAP/RADIUS/TACACS+ bağlama kimlik bilgileri, kablosuz PSK’ler ve SNMP kimlik bilgileri dahil olmak üzere etkilenen cihazlardaki tüm gizli diziler ve anahtarlar sıfırlanıyor
- Harici API anahtarlarını, dinamik DNS’yi, SMTP/FTP kimlik bilgilerini ve “güvenlik duvarı veya yönetim sistemlerine dokunan tüm otomasyon sırlarını” iptal etme
- Şüpheli etkinlik için günlüğe kaydetmeyi artırma ve son girişleri ve yapılandırma değişikliklerini inceleme
- Sıfırlamadan sonra hizmetleri birer birer yeniden tanıtın ve yetkisiz erişimin yeniden ortaya çıkıp çıkmadığını izleyin
- Tüm yönetici ve uzak hesaplar için çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın ve yönetim rollerine en az ayrıcalığı uygulayın.
Cyber Express yorum almak için SonicWall’a ulaştı ve bu makaleyi daha fazla bilgiyle güncelleyecek.