SonicWall'ın, müşterilerin güvenlik duvarı yapılandırması yedek dosyalarını açığa çıkaran Eylül ayındaki güvenlik ihlaline ilişkin araştırması, saldırının arkasında devlet destekli bilgisayar korsanlarının olduğu sonucuna varıyor.
Ağ güvenliği şirketi, Mandiant'ın olay müdahale ekiplerinin, kötü niyetli etkinliğin SonicWall'un ürünleri, donanım yazılımı, sistemleri, araçları, kaynak kodu veya müşteri ağları üzerinde hiçbir etkisinin olmadığını doğruladığını söylüyor.
SonicWall, "Mandiant soruşturması artık tamamlandı. Bulgular, devlet destekli bir tehdit aktörü tarafından gerçekleştirilen kötü niyetli faaliyetin, bir API çağrısı kullanılarak belirli bir bulut ortamındaki bulut yedekleme dosyalarına yetkisiz erişimle izole edildiğini doğruluyor" dedi.
Satıcı, "Olay, SonicWall ürünlerini veya donanım yazılımını etkilemedi. Başka hiçbir SonicWall sistemi veya aracı, kaynak kodu veya müşteri ağı kesintiye uğramadı veya tehlikeye atılmadı" dedi.
17 Eylül'de Amerikan şirketi "belirli MySonicWall hesaplarında saklanan güvenlik duvarı yapılandırması yedek dosyalarını açığa çıkaran bir olayı" açıkladı.
Bir saldırgan, bu dosyalardan erişim kimlik bilgileri ve belirteçler gibi hassas bilgileri çıkarabilir ve bu da müşterinin güvenlik duvarlarından yararlanmalarını "önemli ölçüde kolaylaştırabilir".
Şirket, müşterilerine derhal MySonicWall hesap kimlik bilgilerini, geçici erişim kodlarını, LDAP, RADIUS veya TACACS+ sunucuları için şifreleri, L2TP/PPPoE/PPTP WAN arayüzleri için şifreleri ve IPSec siteden siteye ve GroupVPN politikalarındaki paylaşılan sırları sıfırlamalarını tavsiye etti.
9 Ekim'de yapılan bir güncellemede SonicWall, güvenlik ihlalinin, güvenlik duvarı yapılandırma dosyalarını depolamak için şirketin bulut yedekleme hizmetini kullanan tüm müşterileri etkilediğini belirtti.
Soruşturma artık tamamlandı ve ağ güvenliği sağlayıcısı, ihlalin ortamının belirli bir bölümünü kapsadığını ve ürünlerinin güvenliğini etkilemediğini belirtiyor.
Ayrıca şirket, araştırılan ulus devlet faaliyetinin, Eylül ayı sonlarında MFA korumalı SonicWall VPN hesaplarını hedef alan Akira fidye yazılımı çetesinin saldırılarıyla hiçbir bağlantısının bulunmadığına dair güvence verdi.
Daha yakın zamanda, 13 Ekim'de Huntress, SonicWall SSLVPN hesaplarını hedef alan kötü amaçlı etkinliklerin arttığını ve geçerli kimlik bilgileri kullanarak yüzden fazla hesaptan başarıyla ödün verildiğini bildirdi.
Huntress, bu saldırıları Eylül ayındaki güvenlik duvarı konfigürasyon dosyalarının açığa çıkmasıyla ilişkilendiren herhangi bir kanıt bulamadı ve SonicWall, konuyla ilgili taleplerimize yanıt vermedi.
Bütçe mevsimi! 300'den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026'ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.
SonicWall: Tüm bulut yedekleme müşterileri için çalınan güvenlik duvarı yapılandırmaları
F5, bilgisayar korsanlarının açıklanmayan BIG-IP kusurlarını ve kaynak kodunu çaldığını söyledi
SonicWall, müşterilerini ihlal sonrasında kimlik bilgilerini sıfırlamaları konusunda uyarıyor
Hyundai AutoEver America veri ihlali SSN'leri ve sürücü ehliyetlerini açığa çıkarıyor
178.000'den fazla SonicWall güvenlik duvarı DoS'a ve potansiyel RCE saldırılarına karşı savunmasızdır
Kaynak: Bleeping Computer