出典: Perov Stanislav via Alamy Stock Photo
セキュリティベンダーのSonicWallは、顧客のファイアウォール設定ファイルのバックアップが流出するデータ侵害を受けました。
9月17日、SonicWallは、ネットワークセキュリティ機器でよく知られるベンダーですが、「クラウドバックアップファイルインシデント」と呼ばれる事象を開示するナレッジベース記事を公開しました。同社によると、セキュリティチームが最近「ファイアウォールのクラウドバックアップサービスを標的とした不審な活動」を検知し、ここ数日でセキュリティイベントであることを確認したとしています。
SonicWallによると、正体不明の脅威アクターがクラウドに保存されていたファイアウォール設定ファイルのバックアップにアクセスし、これは「ファイアウォール設置台数の5%未満」に相当します。攻撃者は暗号化された認証情報およびファイアウォール設定ファイルにアクセスでき、「関連するファイアウォールを攻撃者が悪用する可能性を高める」恐れがあります。
「現時点では、これらのファイルが脅威アクターによってオンライン上に流出したという認識はありません」とSonicWallは開示文で述べています。「これはSonicWallに対するランサムウェアや類似の事象ではなく、脅威アクターがバックアップに保存された設定ファイルへのアクセスを得るためにブルートフォース攻撃を繰り返したものです。」
SonicWall侵害への対応方法
MySonicWall.comに設定ファイルのバックアップがあるSonicWallファイアウォールの顧客は、本インシデントの影響を受けているとみなされます。
SonicWallは顧客に対し、自身のMySonicWallアカウントにログインし、クラウドバックアップが有効かどうかを確認すること(バックアップが無効な場合はリスクなし)、影響を受けるシリアル番号がアカウントに登録されているかどうかを確認することを推奨しています。影響を受ける顧客向けには、SonicWallが専用の封じ込め、修復、監視ガイドを作成しています。主な推奨事項は、侵害の可能性を制限し、より重要なのはファイアウォールに保存されたすべてのパスワードおよびMFA認証情報をローテーションすることです。
クラウドバックアップ機能を使用しているが、MySonicWallアカウントにシリアル番号が表示されていない顧客については、ベンダーが今後数日以内に影響範囲を判断するための追加ガイダンスをアドバイザリにて提供する予定です。
Dark Readingは、この侵害に関する追加情報を求めてSonicWallに連絡しました。ベンダーの広報担当者によると、攻撃者は「クラウドバックアップ用のAPIサービス」にアクセスしたとのことです。さらに、現時点で脅威アクターが流出データを使って影響を受けた顧客に対して攻撃を行った証拠はないとしています。
SonicWallはまた、Dark Readingに声明を共有しました。
「当該活動を発見次第、SonicWallは直ちにバックアップ機能へのアクセスを無効化し、システムのさらなるセキュリティ強化のためにインフラおよびプロセスの変更を実施し、影響を受けた可能性のある環境の包括的な調査を開始しました。また、調査と結果の検証のため、業界をリードする第三者のIRおよびコンサルティング会社のサービスも利用しました。影響を受けた顧客およびパートナーには、機器を保護するための明確な指示とともに直接通知しています」と声明は述べています。
声明では、最新情報は前述のナレッジベース記事に最初に追加されるため、顧客はそちらを確認するように勧めています。「当社は完全な透明性を約束しており、調査が進展し次第、引き続き最新情報を共有します。」
SonicWallの最近のセキュリティ履歴
今回の侵害は、SonicWallにとって最新のセキュリティ問題となります。同社は、脆弱なエッジデバイスを標的とする脅威アクターの間で人気の標的となっています。関連はありませんが、MySonicWallのインシデントは、先月SonicWallが発表した、SSLVPNが有効なGen 7以降のSonicWallファイアウォールを標的とした攻撃の波に関するアドバイザリに続くものです。具体的には、Akiraランサムウェアの攻撃者が不適切なアクセス制御の脆弱性CVE-2024-40766を新たなキャンペーンで悪用しています。
SonicWallは40件未満のインシデントを調査中であり、顧客には最新のファームウェアへのアップデート、SSLVPNアクセスを持つすべてのローカルユーザーアカウントのパスワードリセット、引き続きベストプラクティスの適用を推奨しています。
5月には、CISAが警告した通り、2つのSonicWall SMAの脆弱性が実際に悪用されていました。幸いにも、SonicWallは迅速に問題を修正し、これらの脆弱性を悪用するとroot権限でのRCE攻撃につながる可能性がありました。