由于MySonicWall账户遭遇安全漏洞,导致防火墙配置备份文件被泄露,SonicWall正敦促用户重置凭证。
该公司表示,其最近发现有针对防火墙云备份服务的可疑活动,未知的威胁行为者访问了存储在云端的防火墙备份配置文件,涉及的客户不到5%。
“虽然文件中的凭证经过了加密,但这些文件还包含了可能让攻击者更容易潜在地利用相关防火墙的信息,”该公司表示。
这家网络安全公司表示,目前尚未发现这些文件中有任何被威胁者泄露到网上,同时补充称这并非针对其网络的勒索软件事件。
它指出:“相反,这是一系列暴力攻击,目的是获取存储在备份中的偏好文件,供威胁行为者潜在地进一步利用。”目前尚不清楚谁是此次攻击的幕后黑手。
由于该事件,公司正敦促客户遵循以下步骤——
- 登录MySonicWall.com并验证云备份是否已启用
- 确认受影响的序列号是否已在账户中标记
- 启动遏制和修复程序,包括限制从广域网对服务的访问、关闭对HTTP/HTTPS/SSH管理的访问、禁用对SSL VPN和IPSec VPN的访问、重置防火墙上保存的密码和一次性密码,以及检查日志和近期配置更改以寻找异常活动。
此外,受影响的客户还被建议将SonicWall提供的新偏好文件导入防火墙。新的偏好文件包含以下更改——
- 所有本地用户的随机密码
- 如果已启用,重置TOTP绑定
- 随机化的IPSec VPN密钥
其称:“SonicWall提供的修改后的偏好设置文件是根据云存储中最新的偏好设置文件创建的。如果最新的偏好设置文件不能体现您想要的设置,请不要使用该文件。”
这一披露发布之际,与Akira勒索软件团伙有关联的威胁行为者仍在通过利用一个已有一年历史的安全漏洞(CVE-2024-40766,CVSS评分:9.3),持续针对未打补丁的SonicWall设备,以获取对目标网络的初始访问权限。
本周早些时候,网络安全公司Huntress详细介绍了一起阿基拉勒索软件事件</b0,该事件涉及对SonicWall虚拟专用网络(VPN)的利用。在这起事件中,威胁 actor 利用一个包含其安全软件恢复代码的明文文件绕过了多因素认证(MFA),压制了事件可见性,并试图移除端点防护。
研究人员迈克尔·埃尔福德(Michael Elford)和查德·哈德森(Chad Hudson)表示:“在这起事件中,攻击者利用暴露的Huntress恢复代码登录Huntress门户,关闭活跃警报,并启动Huntress EDR智能体的卸载程序,此举实际上是试图让该组织的防御系统陷入瘫痪,使其容易遭受后续攻击。”
“这种级别的访问权限可能被滥用,用于破坏防御系统、操纵检测工具以及实施进一步的恶意行为。企业应当像对待特权账户密码一样,以高度的敏感性来处理恢复代码。”
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
