- 脅威アクターがSonicWallのクラウドポータルをブルートフォース攻撃し、暗号化されたファイアウォール設定バックアップにアクセス
- 最大25,000の組織が影響を受ける可能性あり。SonicWallは直ちに資格情報のリセットを推奨
- 現時点でデータ流出は確認されていないが、第三者の専門家や法執行機関が対応中
SonicWallは、自社がセキュリティインシデントを受け、顧客データが漏洩した可能性があることを確認した後、ファイアウォールの顧客に対し、パスワードのリセットを呼びかけています。
セキュリティ発表の中で、SonicWallは、匿名の脅威アクターが同社のMySonicWallクラウドサービスにブルートフォース攻撃で侵入した経緯を説明しました。
このツールは、SonicWallファイアウォールの利用者(主に企業やITチーム)が、ネットワークルールやアクセス制御ポリシー、VPN設定、サービス認証情報(LDAP、RADIUS、SNMP)、または管理者ユーザー名やパスワード(設定ファイルに保存されている場合)などのファイアウォール設定ファイルをバックアップすることを可能にします。
数千の潜在的被害者
「ファイル内の認証情報は暗号化されていましたが、これらのファイルには攻撃者が関連ファイアウォールを悪用しやすくなる情報も含まれていました」と同社は説明しています。
理論上、攻撃者は秘密情報をブルートフォースまたは復号し、ファイアウォールに紐づくサービスで使われている認証情報を抽出し、ネットワークのトポロジーやルールを把握して防御を回避しやすくし、ファイアウォールの設定方法に関する内部知識を利用して標的型攻撃を仕掛けることが可能となります。
SonicWallは、今回の攻撃で影響を受けたのは「顧客全体の5%未満」としていますが、同社の最新の発表によれば、世界中で約50万社の顧客にサービスを提供しているとのことです(ただし、全てがファイアウォールやクラウドバックアップサービスを利用しているわけではありません)。最悪の場合、影響を受けた組織は約25,000社に上る可能性があります。
これまでのところ、この攻撃の犯行声明を出したグループはなく、データもダークウェブ上には現れていません。
「現時点で、これらのファイルが脅威アクターによってオンライン上に流出したという認識はありません」とSonicWallは説明しています。「これはSonicWallにとってランサムウェアや類似の事案ではなく、脅威アクターがバックアップに保存された設定ファイルへのアクセスを目的として行った一連のブルートフォース攻撃でした。」
侵害後、SonicWallは攻撃者の排除に成功し、第三者のセキュリティ専門家を招いて防御体制を強化しました。法執行機関にも通報済みです。
