総当たり攻撃により、SonicWallの全顧客が同社のクラウドバックアップサービスを利用していた場合、ファイアウォールの設定ファイルが流出したことが、水曜日に窮地に立たされた同社から発表されました。
Mandiantの支援による調査で、SonicWallの顧客向けシステムが正体不明の攻撃者に侵害された際の被害の全容が確認されました。同社は以前、ファイアウォールの設置台数のうち5%未満がクラウドベースのサービスにバックアップ設定ファイルを保存していると述べていました。
SonicWallは、調査によって顧客への影響がより広範囲に及んでいるかどうか、またその5%という数字が引き続き正確かどうかについての質問には答えませんでした。同社は当初、9月17日時点でファイアウォールの5%未満が影響を受けたと開示内容を修正しましたが、その後ブログ記事からこの詳細を削除しています。
「調査により、SonicWallのクラウドバックアップサービスを利用したすべての顧客のファイアウォール設定バックアップファイルに、許可されていない第三者がアクセスしたことが確認されました」と同社は声明で述べています。
この曖昧な表現により、SonicWallが最初に攻撃を報告して以来、動向を追ってきた脅威研究者からの批判が再燃しました。
「攻撃者は、ファイアウォールルール、暗号化された認証情報、ルーティング設定などを含む、機密性の高いデータの宝庫にアクセスしました」と、watchTowrのプロアクティブ脅威インテリジェンス責任者であるRyan Dewhurst氏はメールで述べています。
「なぜベンダーがレート制限やパブリックAPIに対するより強力なコントロールといった基本的な保護を実装しなかったのか、疑問が残ります」と彼は付け加えました。
SonicWallの顧客は、SonicWallデバイスにおける積極的に悪用されている脆弱性の猛攻に何年も直面してきました。
2021年後半以降、同社製品に影響を与える14件の欠陥が、米国サイバーセキュリティ・インフラストラクチャ庁(CISA)の既知悪用脆弱性(KEV)カタログに追加されています。CISAによると、そのうち9件はランサムウェアキャンペーンで使用されており、7月中旬から8月初旬にかけて約40件のAkiraランサムウェア攻撃が発生しました。
これらの攻撃はSonicWallデバイスの脆弱性悪用に関連していましたが、今回の最新の攻撃はSonicWallの内部インフラと運用そのものを直接狙ったものでした。
同社は、影響を受けたすべての顧客に通知し、脅威検出や復旧を支援するツールを公開し、全顧客にMySonicWall.comプラットフォームへログインして潜在的な被害を確認するよう促しています。
「パスワードは暗号化されていましたが、攻撃者は好きなだけ時間をかけてオフラインで解読できます」とDewhurst氏は述べています。
「もしも元々使われていたパスワードが弱ければ、脅威アクターはすでに平文のパスワードを手にしている可能性が非常に高いです」と彼は付け加えました。「もし脅威アクターがパスワードを解読できなかったとしても、漏洩した情報はより複雑な標的型攻撃に役立つでしょう。」
SonicWallは、追加のセキュリティ強化策を実施し、Mandiantと協力してクラウドインフラおよび監視システムのセキュリティ向上に取り組んでいると述べています。
翻訳元: https://cyberscoop.com/sonicwall-customer-firewall-configurations-exposed/
