Les configurations ont été stockées dans les portails cloud des clients; Les administrateurs ont averti de modifier les mots de passe, les clés et les secrets.
Sonicwall avertit les administrateurs que les récentes attaques par force brute sur le service API de son pare-feu pour la sauvegarde cloud auraient pu exposer des fichiers de configuration de sauvegarde stockés dans son portail cloud.
Les pare-feu ont été touchés avec des fichiers de préférence soutenus au portail MySonicWall.com des clients, a indiqué la société.
En réponse, l’accès à la capacité de sauvegarde a été désactivé et les administrateurs sont invités à désactiver ou à restreindre l’accès au service SSLVPN et à la gestion Web / SSH par rapport au WAN, puis à réinitialiser les mots de passe, les clés et les secrets du pare-feu.
Notez que les mots de passe et les clés peuvent également devoir être mis à jour ailleurs, comme avec le fournisseur de services Internet d’une organisation, le fournisseur DNS dynamique, le fournisseur de messagerie, le pair VPN IPSEC distant ou le serveur LDAP / RADIUS. Sonicwall propose des conseils complets sur son site Web.
Si un client a utilisé la fonction de sauvegarde cloud mais aucun numéro de série n’est répertorié dans son compte MySonicWall, Sonicwall fournira des conseils supplémentaires dans les prochains jours pour déterminer si ses fichiers de sauvegarde ont été touchés.
Sonicwall a déclaré dans un communiqué: « Moins de 5% de notre base d’installation de pare-feu avait des fichiers de préférence de pare-feu de sauvegarde stockés dans le cloud. » Il a déclaré qu’il comptait 500 000 clients, mais pas tous souscrit à ses pare-feu. Pourtant, l’estimation de 5% pourrait se traduire par des milliers d’organisations.
« Alors que les fichiers contenaient des mots de passe cryptés », a déclaré le communiqué de Sonicwall, « ils ont également inclus des informations qui pourraient faciliter que les attaquants exploitent potentiellement les pare-feu.
«Avoir la sauvegarde est comme un trésor de pièces de puzzle que vous pouvez assembler pour voir la posture de sécurité et l’accès général du réseau de l’appareil qui a été sauvegardé», a averti Kellman Meghu, architecte en chef de la sécurité canadienne et la société de réponse aux incidents Deepcove Cybersecurity.
‘Pas ransomware’
À ce jour, l’entreprise n’est pas au courant de ces fichiers ayant été divulgués en ligne par des acteurs de la menace.
« Ce n’était pas un ransomware ou un événement similaire pour Sonicwall », indique le communiqué. « Au contraire, il s’agissait d’une série d’attaques de force brute à comptes à compter visant à accéder aux fichiers de préférence stockés dans la sauvegarde pour une utilisation potentielle supplémentaire par les acteurs de la menace. »
Les utilisateurs du portail MySonicWall.com doivent se connecter et vérifier si les sauvegardes de configuration du cloud sont activées. Les numéros de série des appareils impactés sont répertoriés pour ceux qui utilisent la capacité, de sorte que le portail de chaque client sera signalé avec une bannière d’information.
L’avertissement de mercredi intervient après que plusieurs autorités nationales de cybersécurité ont averti que le gang de ransomware Akira exploitait les pare-feu Sonicwall qui n’ont pas installé de correctif 2024 pour une vulnérabilité critique.
Que sont les attaques de force brute?
Les attaques de force brute utilisent des essais et des erreurs pour casser les mots de passe, les informations d’identification de connexion et les clés de chiffrement. Ils existent depuis le début de l’ère informatique, mais sont toujours efficaces.
Pourquoi? En partie parce que les gens utilisent toujours des mots de passe facilement supposables comme «1234», ou le nom de leur entreprise, ou les mots de passe par défaut laissés sur le matériel et les logiciels par les fournisseurs.
Les acteurs de la menace ont compilé des listes des mots de passe les plus couramment utilisés (noms des athlètes célèbres, noms des acteurs célèbres, noms de groupes de rock célèbres…), en fonction des années de violations de données, qu’ils vendent ou partagent pour une utilisation dans ce qu’on appelle des attaques de tas de références. Une attaque de dictionnaire utilise une liste de mots d’un dictionnaire. Les attaques de force brute hybride combinent un dictionnaire avec des listes de mots de passe volés.
La technologie informatique moderne aide également les acteurs à menacer, a souligné Meghu. Avec les ressources de cloud computing à faible coût d’aujourd’hui, tout escroc peut tourner une machine virtuelle temporaire pour travailler pour essayer chaque combinaison contre un fichier. Et Picus Security a récemment rapporté que même les mots de passe hachés peuvent être facilement fissurés.
Défenses
Organisez que les employés et les clients utilisent de longs mots de passe d’au moins 16 lettres et numéros est une défense. Encore mieux, a déclaré l’Institut national américain des normes et de la technologie (NIST), encourage les employés à utiliser une phrase secrète dont ils se souviennent plutôt qu’un fouillis de lettres.
Enfin, les experts conseillent que la meilleure défense contre les attaques par force brute est l’authentification multifacteur résistante au phishing, y compris, pour les administrateurs, l’utilisation de clés USB physiques ou de biométrie comme étape de connexion supplémentaire.
« Rendre la force brute sans importance en utilisant des clés publiques / privées – protéger ces clés !! – ou une sorte d’authentification à deux facteurs ne suffit pas », a déclaré Meghu. «Une protection supplémentaire devrait être la norme.
« Vous ne pouvez généralement pas faire confiance à quelque chose qui est juste protégé par le mot de passe », a-t-il déclaré. « Supposons à un moment donné que la puissance de calcul atteindra un point qu’il est fissuable. Pour prolonger ce temps, utilisez un mot de passe aussi long que possible, 18 caractères au minimum pour les données sensibles. »
