SonicWallは、顧客のファイアウォール設定ファイルが流出したMySonicWall.comプラットフォームへの攻撃を確認したと発表しました。これは、同社およびその顧客に影響を与えている一連のセキュリティ脆弱性の最新事例です。
同社のセキュリティチームは不審な活動の調査を開始し、「ここ数日で」攻撃を確認したと、SonicWallグローバルコミュニケーション部門シニアディレクターのBret Fitzgerald氏がCyberScoopに語りました。「調査の結果、ファイアウォール設置台数全体の5%未満で、これらのデバイスのクラウドにバックアップされたファイアウォール設定ファイルが脅威アクターによってアクセスされていたことが判明しました。」
SonicWallの顧客は、SonicWall製品の積極的に悪用されている脆弱性によって繰り返し攻撃を受けてきましたが、今回の攻撃は新たな圧力点となっています。つまり、同社が管理する顧客向けシステムへの攻撃です。
この違いは重要です。なぜなら、SonicWallの製品ライン、内部インフラ、運用慣行全体にわたってシステム的なセキュリティの不備が存在することを示唆しているからです。
「このようなインシデントは、SonicWallに限らず、セキュリティベンダーが顧客に求めるのと同等かそれ以上の基準を自らにも課すことの重要性を浮き彫りにしています」と、Dell’Oro Groupのエンタープライズセキュリティおよびネットワーキングリサーチ部門シニアディレクターのMauricio Sanchez氏はCyberScoopに語りました。
「ベンダーが運用するシステムで侵害が発生した場合、顧客が導入した製品で起きる場合よりも、ベンダーの広範なエコシステムへの信頼が損なわれるため、特に深刻な結果を招く可能性があります」と同氏は付け加えました。
SonicWallは、顧客にとって下流で発生しうるリスクが重大であることを認めています。「ファイルには暗号化されたパスワードが含まれていましたが、攻撃者がファイアウォールを悪用しやすくなる情報も含まれていました」とFitzgerald氏は述べました。
「これはSonicWallにとってランサムウェアなどの事案ではなく、脅威アクターがバックアップに保存された設定ファイルへアクセスするために、アカウントごとにブルートフォース攻撃を仕掛けた一連の攻撃でした」と同氏は付け加えました。
SonicWallは攻撃の実行者を特定または公表しておらず、盗まれたファイルがオンラインで流出した証拠も確認していないと述べています。同社はバックアップ機能へのアクセスを無効化し、インフラとプロセス全体でシステムのセキュリティ強化を図り、インシデント対応およびコンサルティング会社の支援を受けて調査を開始しました。
Sanchez氏は、この侵害を深刻な問題だと述べています。「これらのファイルには、攻撃者が弱点をより効率的に悪用するための道筋となる、詳細なネットワーク構成、ルール、ポリシーが含まれていることが多いです」と同氏は述べました。「認証情報のリセットは必要な第一歩ですが、すでに敵対者の手に渡った情報に起因する長期的なリスクには対処できません。」
SonicWallは、法執行機関、影響を受けた顧客およびパートナーに通知したと述べています。顧客はMySonicWallアカウントで影響を受けたシリアル番号がリストされているか確認でき、リスクがあると判断された場合は認証情報のリセット、封じ込め、修復、異常な活動のログ監視が推奨されています。
Sanchez氏によれば、多くのベンダーは顧客がクラウド管理ポータルに設定データを保存できるようにしていますが、この慣行には本質的なリスクが伴います。
「ベンダーは利便性と侵害時の潜在的な結果を常に天秤にかける必要があり、顧客はインシデント発生時に強固な透明性と修復策をベンダーに求めるべきです」と同氏は付け加えました。
SonicWallファイアウォールを利用する組織は、ここ数年にわたり継続的な攻撃の波に直面しています。これは、2021年後半以降、同社がCISAの既知の悪用脆弱性カタログに14回登場していることからも明らかです。CISAによると、そのうち9件はランサムウェア攻撃で使用されており、最近では約40件のAkiraランサムウェア攻撃が発生しています。
Fitzgerald氏は、SonicWallは完全な透明性を約束しており、調査が進展次第、随時情報を共有すると述べました。
翻訳元: https://cyberscoop.com/sonicwall-cyberattack-customer-firewall-configurations/