SonicWallは本日、ファイアウォールの設定バックアップファイルがセキュリティ侵害により流出し、MySonicWallアカウントに影響を与えたことを受け、顧客に資格情報のリセットを警告しました。
インシデントを検知した後、SonicWallは攻撃者によるシステムへのアクセスを遮断し、サイバーセキュリティおよび法執行機関と連携して攻撃の影響を調査しています。
「透明性への取り組みの一環として、特定のMySonicWallアカウントに保存されていたファイアウォール設定バックアップファイルが流出したインシデントについてご報告いたします」と、同社は水曜日に発表しました。
「流出したファイアウォール設定ファイルへのアクセスは、脅威アクターによるファイアウォールの悪用を大幅に容易にする情報を含んでいます。」
このインシデントの影響は深刻になる可能性があり、流出したバックアップによって、脅威アクターがネットワーク上のSonicWallデバイスで稼働しているあらゆるサービスの秘密情報にアクセスできる恐れがあります。
SonicWallはまた、管理者が流出したファイアウォール設定の悪用によるネットワークへのアクセスリスクを最小限に抑え、侵害された可能性のある秘密情報やパスワードを再設定し、ネットワーク内の脅威活動を検知するための詳細なガイダンスも公開しています。
「以下のチェックリストは、関連するすべてのパスワード、キー、秘密情報を一貫して更新するための体系的なアプローチを提供します。これらの手順を実施することで、セキュリティを維持し、SonicWall環境の完全性を保護するのに役立ちます。重要な項目が最初に記載されています。その他の資格情報については、ご都合の良いタイミングで更新してください」と同社は注意を促しています。
「SonicOSで設定されているパスワード、共有シークレット、暗号化キーは、ISP、ダイナミックDNSプロバイダー、メールプロバイダー、リモートIPSec VPNピア、LDAP/RADIUSサーバーなど、他の場所でも更新が必要な場合があることにご注意ください。」
BleepingComputerはこの件についてSonicWallに問い合わせましたが、現時点で回答は得られていません。
8月には、SonicWallは、AkiraランサムウェアグループがSSLVPNを有効にしたGen 7ファイアウォールを潜在的なゼロデイ脆弱性を使って侵害しているという報告を否定し、実際には2024年11月に修正されたSonicOSの重大なSSLVPNアクセス制御の脆弱性(CVE-2024-40766)に関連していると説明しました。
先週、同社の見解が確認され、オーストラリアサイバーセキュリティセンター(ACSC)およびサイバーセキュリティ企業Rapid7が、Akiraランサムウェアグループが現在CVE-2024-40766の脆弱性を悪用し、未修正のSonicWallデバイスを侵害していることを明らかにしました。
