SonicWall rivela accesso non autorizzato ai file di backup delle configurazioni firewall
Mercoledì, SonicWall ha comunicato che un soggetto non autorizzato ha avuto accesso ai file di backup delle configurazioni firewall di tutti i clienti che hanno utilizzato il servizio di backup cloud. Questi file contengono credenziali criptate e dati di configurazione; sebbene la crittografia sia ancora in atto, il possesso di tali file potrebbe aumentare il rischio di attacchi mirati.
L’azienda sta lavorando per notificare tutti i partner e i clienti, e ha rilasciato strumenti per assistere nella valutazione e nella risoluzione dei problemi dei dispositivi. SonicWall esorta inoltre gli utenti a effettuare il login e a controllare i propri dispositivi. Questo sviluppo arriva poche settimane dopo che SonicWall aveva invitato i clienti a reimpostare le credenziali a seguito di una violazione della sicurezza che ha esposto i file di backup delle configurazioni firewall degli account MySonicWall.
Priorità di intervento per i dispositivi interessati
La lista dei dispositivi impattati, disponibile sul portale MySonicWall, è stata assegnata un livello di priorità per aiutare i clienti a dare priorità agli sforzi di risoluzione. Le etichette sono le seguenti:
- Attivo – Alta priorità: Dispositivi con servizi esposti a Internet abilitati.
- Attivo – Priorità inferiore: Dispositivi senza servizi esposti a Internet.
- Inattivo: Dispositivi che non hanno effettuato il ping per 90 giorni.
Questo ultimo resoconto segna un cambiamento rispetto alla valutazione iniziale, quando SonicWall aveva affermato che gli attori della minaccia avevano avuto accesso ai file di preferenze del firewall di backup memorizzati nel cloud per meno del 5% dei suoi clienti. Sebbene le credenziali all’interno di quei file fossero criptate, includevano anche “informazioni che potrebbero facilitare potenzialmente lo sfruttamento del firewall correlato”.
Misure di sicurezza e raccomandazioni
Non è attualmente noto quanti clienti utilizzino il servizio di backup cloud. SonicWall non ha ancora rivelato quando sono iniziati gli attacchi o chi sia dietro l’attività. Tuttavia, l’azienda ha dichiarato di aver “rafforzato” la sua infrastruttura, applicato ulteriori registrazioni e introdotto controlli di autenticazione più robusti per prevenire una ripetizione.
Gli utenti sono invitati a seguire i passaggi seguenti con effetto immediato:
- Accedere al proprio account MySonicWall.com e verificare se esistono backup cloud per i firewall registrati.
- Se i campi sono vuoti, non c’è impatto. Se i campi contengono dettagli di backup, verificare se i numeri di serie impattati sono elencati nell’account.
- Se i numeri di serie sono mostrati, gli utenti dovrebbero seguire le linee guida di contenimento e risoluzione per i firewall elencati.
SonicWall ha dichiarato che nei casi in cui i clienti abbiano utilizzato la funzione di backup cloud ma non siano mostrati numeri di serie o solo alcuni dei numeri di serie registrati siano visualizzati, fornirà ulteriori indicazioni nei prossimi giorni.
Considerazioni finali
La recente violazione della sicurezza di SonicWall sottolinea l’importanza di una gestione proattiva della sicurezza informatica. Anche se le credenziali erano criptate, l’accesso non autorizzato ai file di configurazione rappresenta un rischio significativo. È essenziale che le aziende adottino misure preventive e reattive per proteggere i propri dati e infrastrutture. SonicWall ha dimostrato un impegno nel rafforzare la propria sicurezza, ma è fondamentale che anche i clienti siano vigili e seguano le raccomandazioni fornite per mitigare i rischi potenziali.
Fonte:The Hackers News
