SonicWall, şirketin bulut yedekleme hizmetini kullanan tüm müşterilerin geçen ayki güvenlik ihlalinden etkilendiğini doğruladı.
Daha önce satıcı, olayın "belirli MySonicWall hesaplarında saklanan güvenlik duvarı yapılandırması yedek dosyalarının açığa çıktığını" belirtmişti ancak ek ayrıntılar paylaşılmamıştı.
MySonicWall, ürün erişimini, lisanslamayı, kaydı, ürün yazılımı güncellemelerini, destek vakalarını ve güvenlik duvarı yapılandırmalarının (.EXP dosyaları) bulut yedeklemelerini yönetmek için kullanılan çevrimiçi bir müşteri portalıdır.
17 Eylül'de şirket, sistemlerini ihlal eden yetkisiz aktörlerin potansiyel olarak erişebileceği güvenlik duvarı yapılandırma yedekleme dosyalarını korumak için müşterilerini MySonicWall hesap kimlik bilgilerini sıfırlamaları konusunda uyardı.
Yöneticilerin ihlalden kaynaklanan riskleri yönetmelerine yardımcı olmak için şirket, sıfırlama prosedürünün tüm kimlik bilgilerini, API anahtarlarını ve kullanıcıların kimlik doğrulama belirteçlerini, VPN hesaplarını ve hizmetlerini kapsaması gereken temel adımlarını sağladı.
Şirket, "ilgili tüm şifrelerin, anahtarların ve sırların tutarlı bir şekilde güncellendiğinden emin olmak için" bir kontrol listesi sağlıyor. Kritik eylemler aşağıdaki ön prosedürlere atıfta bulunur:
Liste ayrıca, günlük kaydı ve VPN entegrasyonu için AWS anahtarlarının güncellenmesi, SNMPv3 kullanıcı kimlik bilgilerinin sıfırlanması ve WWAN bağlantıları için şifrelerin güncellenmesi gibi daha az kritik eylemleri de içerir.
O sırada SonicWall, "Açığa çıkan güvenlik duvarı yapılandırma dosyalarına erişim, güvenlik duvarlarının istismarını tehdit aktörleri için önemli ölçüde kolaylaştırabilecek bilgiler içeriyor" diye uyarmıştı ve aynı zamanda ayrıntılı iyileştirme kılavuzu da yayınlamıştı.
O dönemde SonicWall, güvenlik duvarı müşterilerinin yaklaşık %5'inin bulut yedekleme hizmetini kullandığını belirtmişti.
Dün yayınlanan bir güncellemede satıcı, olayın güvenlik duvarı yapılandırma dosyalarını depolamak için bulut yedekleme portalını kullanan tüm müşterileri etkilediğini söyledi.
Güncellenen bültende "SonicWall, önde gelen IR Firması Mandiant ile yakın zamanda meydana gelen bir bulut yedekleme güvenliği olayı kapsamında yürütülen soruşturmayı tamamladı" ifadesine yer verildi.
"Soruşturma, yetkisiz bir tarafın SonicWall'un bulut yedekleme hizmetini kullanan tüm müşterilerin güvenlik duvarı yapılandırma yedekleme dosyalarına eriştiğini doğruladı."
Açığa çıkan dosyalar AES-256 ile şifrelenmiş kimlik bilgileri ve yapılandırma verilerini içerir.
Kullanıcılar artık MySonicWall'da oturum açıp 'Ürün Yönetimi → Sorun Listesi'ne giderek cihazlarının etkilenen cihazlar arasında olup olmadığını kontrol edebilirler.
Burada incelenmeyi bekleyen herhangi bir eylem öğesi varsa kullanıcılar, etkin, internete yönelik güvenlik duvarlarına öncelik vererek Temel Kimlik Bilgilerini Sıfırlama adımlarını izlemelidir.
SonicWall soruşturmanın artık tamamlandığını belirtmiş olsa da sistem yöneticilerinin, etkilenen cihazların güncellenmiş listeleri için MySonicWall uyarılarını periyodik olarak izlemeye devam etmeleri akıllıca olacaktır.
Güncelleme [10:28]: Makale, SonicWall'un kritik iyileştirme adımlarının listesiyle güncellendi
İhlal ve Saldırı Simülasyon Zirvesine katılın ve güvenlik doğrulamanın geleceğini deneyimleyin. En iyi uzmanlardan bilgi alın ve yapay zeka destekli BAS'ın ihlal ve saldırı simülasyonunu nasıl dönüştürdüğünü görün.
Güvenlik stratejinizin geleceğini şekillendirecek etkinliği kaçırmayın
SonicWall, müşterilerini ihlal sonrasında kimlik bilgilerini sıfırlamaları konusunda uyarıyor
Microsoft: Windows Yedekleme artık kurumsal kullanıcılar için mevcut
Crimson Collective bilgisayar korsanları veri hırsızlığı için AWS bulut örneklerini hedef alıyor
Docker, Sertleştirilmiş Görüntüler Kataloğu'nu küçük işletmeler için uygun fiyatlı hale getiriyor
Zeroday Cloud hackleme yarışmasında 4,5 milyon dolar ödül teklif edildi
Kaynak: Bleeping Computer