SonicWallは、国家が支援する脅威アクターが、同社のクラウドバックアップサービスを利用していたすべての顧客のファイアウォール設定ファイルを暴露したブルートフォース攻撃の背後にいたと発表しました。
ベンダーは、Mandiantがこのインシデントの調査を完了した後、火曜日に攻撃の責任を非公開の国家に帰属させました。
SonicWallは攻撃を特定の国や脅威グループに帰属させず、Mandiantも追加情報の提供を拒否しました。ベンダーのアップデートには根本原因分析が欠けており、主に攻撃を過去のものとするためのもので、経営陣はSonicWallのセキュリティ対策を強化することを約束しました。
「悪意のある活動は封じ込められ、当社のファイアウォールクラウドバックアップサービス、つまり特定のクラウドバケットにファイアウォール設定ファイルを保存するサービスに限定されていました」とSonicWallのCEO、Bob VanKirkはアップデートと共に公開された事前収録ビデオで述べました。「SonicWallの製品、ファームウェア、ソースコード、プロダクションネットワーク、顧客データ、その他のSonicWallシステムには一切影響はありませんでした。」
しかし、バックアップされたファイアウォール設定ファイルが盗まれたため、顧客データは影響を受けました。watchTowrのプロアクティブ脅威インテリジェンス責任者であるRyan Dewhurstは以前CyberScoopに対し、これらのファイルには「ファイアウォールルール、暗号化された認証情報、ルーティング設定など、機密データの宝庫が含まれている」と述べています。
この攻撃に関するベンダーの公開情報は複雑であり、場合によっては誤りも含まれていました。SonicWallは最初の発表で影響範囲をファイアウォール設置ベースの5%未満と過小評価しましたが、数週間後にMandiantが暴露の全容を確認したことで、その評価を撤回しました。
SonicWallは、Mandiantが国家支援の攻撃者がAPIコールを利用してクラウドバックアップファイルにアクセスしたと判断したと述べましたが、詳細は明らかにしませんでした。
他にも、影響を受けた顧客数や、国家支援の攻撃者がSonicWallの顧客ポータルにどれほど長くアクセスしていたかなど、重要な詳細は不明のままです。同社は9月にMySonicWall.comで不審な活動を検知したと述べています。
SonicWallの顧客向けシステムへの攻撃は、研究者や当局がSonicWallファイアウォールに影響する1年前の脆弱性を悪用した約40件の新たなAkiraランサムウェア攻撃について警告した1週間後に明らかになりました。同社は、これら顧客に影響を与えた攻撃はSonicWallのクラウドバックアップ環境への攻撃とは無関係であると述べています。
「この事象がエッジデバイスに対する最近のAkiraランサムウェア攻撃の増加と関連している証拠はありません」とVanKirkは述べました。
SonicWallの顧客は、今年だけでも4件の実際に悪用された脆弱性を含む、SonicWallデバイスの積極的に悪用されている一連の脆弱性に直面しています。
2021年後半以降、ベンダーの製品に影響する14件の欠陥が、米国サイバーセキュリティ・インフラストラクチャ庁(CISA)の既知の悪用済み脆弱性カタログに追加されています。そのうち9件は、CISAによればランサムウェアキャンペーンで使用されていることが知られています。
VanKirkは、同社が製品とシステムのセキュリティを継続的に改善することを約束しており、Mandiantの推奨するすべての是正措置が実施済み、または現在進行中であると付け加えました。
翻訳元: https://cyberscoop.com/sonicwall-customer-portal-nation-state-attack/
