Компания SonicWall совместно с экспертами по реагированию на инциденты Mandiant завершила расследование инцидента, связанного с облачными резервными копиями. Расследование подтвердило, что неизвестная сторона получила доступ ко всем файлам резервных копий конфигураций брандмауэров клиентов, использовавших функцию облачного резервного копирования MySonicWall.
Эти файлы содержат закодированные настройки конфигурации и зашифрованные учетные данные. Хотя сами учетные данные защищены шифрованием AES-256, наличие этих файлов у злоумышленника может помочь в подготовке высокоцелевых атак на затронутые сети. Это создает серьезные риски, поскольку злоумышленники, обладая детальной информацией о сетевой инфраструктуре, могут точнее планировать свои действия.
SonicWall обновила списки затронутых устройств в портале MySonicWall. Клиенты могут найти эти списки в разделе «Управление продуктами» -> «Список проблем». Каждая запись об устройстве теперь содержит классификацию приоритета воздействия: «Активно - Высокий приоритет» для устройств, доступных из интернета, «Активно - Низкий приоритет» для устройств, не доступных из интернета, и «Неактивно» для устройств, не выходивших на связь более 90 дней.
SonicWall активно уведомляет всех затронутых партнеров и клиентов и предоставляет инструменты для оценки и устранения последствий на подвергшихся воздействию устройствах. Все партнеры и клиенты SonicWall настоятельно рекомендуются немедленно войти в свои учетные записи на MySonicWall.com, чтобы проверить наличие облачных резервных копий для своих зарегистрированных брандмауэров. Если поля резервного копирования пусты, клиенты могут быть уверены, что их устройства не находятся под угрозой.
Если же детали резервного копирования присутствуют, клиентам следует проверить «Список проблем» на наличие отмеченных серийных номеров, которые включают имя устройства, дату последней загрузки и затронутые службы. Необходимо расставить приоритеты в устранении проблем, начиная с устройств с классификацией «Активно - Высокий приоритет», а затем перейти к устройствам «Активно - Низкий приоритет». Также крайне важно просмотреть и сбросить учетные данные для всех служб, включенных во время создания резервной копии или ранее.
Клиентам рекомендуется руководствоваться «Руководством по обязательному сбросу учетных данных» SonicWall для выполнения шагов по сдерживанию и устранению последствий. Также доступно подробное «Руководство по устранению последствий», которое проводит пользователя через процедуры восстановления. Онлайновый инструмент SonicWall для анализа конфигураций брандмауэра может идентифицировать конкретные службы, требующие сброса учетных данных.
Файлы резервных копий конфигураций используют расширение .EXP и содержат полный снимок настроек брандмауэра. Локально экспортированные файлы EXP только кодируются, при этом учетные данные шифруются на современных моделях SonicWall. Файлы облачных резервных копий получают дополнительный уровень полного файлового шифрования и сжатия перед хранением. Когда пользователь загружает облачную резервную копию из MySonicWall, система расшифровывает файл и передает его по HTTPS в закодированном состоянии, сохраняя шифрование учетных данных.
Для усиления защиты SonicWall внедрила дополнительные меры усиления безопасности в своей облачной инфраструктуре и системах мониторинга. Компания продолжает сотрудничество с Mandiant для улучшения средств обнаружения и предотвращения будущих несанкционированных доступов. Клиентам с вопросами или нуждающимся в помощи, следует открыть обращение в службу поддержки через портал MySonicWall. SonicWall предоставит дальнейшие указания клиентам, чьи поля резервного копирования или серийные номера не отображаются в текущем «Списке проблем», гарантируя, что каждый пользователь получит четкие инструкции по проверке рисков и реагированию на потенциальное раскрытие информации.
Данный инцидент подчеркивает важность регулярного аудита систем резервного копирования и своевременного обновления учетных данных, особенно для критически важной сетевой инфраструктуры, такой как брандмауэры. Понимание того, какие данные хранятся в резервных копиях и как они защищены, является ключевым элементом комплексной стратегии кибербезопасности любой организации.
