SonicWall、クラウドバックアップサービスの侵害を公表

サイバーセキュリティベンダーのSonicWallは、ファイアウォール向けクラウドバックアップサービスに影響を及ぼすセキュリティインシデントを公表しました。

調査の結果、攻撃者がSonicWallのファイアウォール設置ベースのおよそ5%にあたるクラウド上に保存されたファイアウォール設定ファイルへのアクセスに成功していたことが判明しました。

同社は、これらのファイル内の認証情報は暗号化されているものの、他にも攻撃者が将来的に関連ファイアウォールを悪用する可能性のある情報が含まれていると警告しています。これにはファイアウォールのシリアル番号も含まれます。

「現時点では、これらのファイルが攻撃者によってオンライン上に流出したという情報はありません。これはSonicWallに対するランサムウェアや類似の事件ではなく、攻撃者によるブルートフォース攻撃の一連の試みであり、バックアップに保存された設定ファイルへのアクセスを得て、今後の悪用を狙ったものでした」とSonicWallは、9月17日に公開し、18日に更新したアドバイザリで述べています。

被害を受けているかどうかを確認するため、すべてのSonicWallファイアウォールの顧客はMySonicWall.comにログインし、自社製品でクラウドバックアップが有効になっているか確認する必要があります。

有効になっている場合は、自社のファイアウォールのシリアル番号が漏洩した情報に含まれていないか確認する必要があります。

「もし含まれている場合は、該当するファイアウォールがリスクにさらされているため、封じ込めおよび復旧のガイドラインに従ってください」とSonicWallは述べています。

シリアル番号が含まれていない顧客には、今後の追加情報のためにインシデントページを定期的に確認するよう案内しています。

影響を受けた顧客に迅速な対応を呼びかけ

設定ファイルの機密性の高さから、影響を受けた顧客には直ちに封じ込めおよび復旧措置を講じるよう強く推奨されています。

まず最初に、復旧作業に移る前にWANからのサービスへのアクセスを無効化または制限する必要があります。

復旧のために、SonicWallはすべての関連パスワード、キー、シークレットを一貫して更新するための構造化されたチェックリストを用意しており、重要な項目が最初に記載されています。

「SonicOSで設定されたパスワード、共有シークレット、暗号鍵は、ISPやダイナミックDNSプロバイダー、メールプロバイダー、リモートIPSec VPNピア、LDAP/RADIUSサーバーなど、他の場所でも更新が必要な場合があります。これを怠ると、インターネットやVPNの停止、認証やログ/アラート転送など特定サービスの障害が発生する恐れがあります」と同社は警告しています。

また、ファイアウォールの最近の設定変更や異常なアクティビティについてログの確認も推奨されています。

さらに、影響を受けた顧客には新しい設定ファイルが提供され、ファイアウォールにインポートすることができます。このファイルは、すべてのローカルユーザーのパスワードをランダム化し、IPSec VPNキーをランダム化し、TOTP（二要素認証）が有効な場合はそのバインディングもリセットします。

今回のインシデントは、ここ数ヶ月でSonicWall製品を標的とした複数の攻撃に続くものです。同社は最近、攻撃者がSonicWall SonicOSの管理アクセスおよびSSLVPNの重大な脆弱性を積極的に悪用していることを明らかにするアドバイザリを公開しました。

8月には、Arctic Wolfの研究者がSonicWall SSL VPNにおいて複数のプレランサムウェア侵入を検知し、ゼロデイ脆弱性の可能性を示唆したと述べています。