Les chercheurs avertissent que les auteurs de menaces ont compromis plus d’une centaine de comptes SonicWall SSLVPN dans une campagne à grande échelle en utilisant des informations d’identification volées et valides.
Bien que dans certains cas, les attaquants se soient déconnectés après une courte période, dans d’autres, ils ont effectué des analyses du réseau et tenté d’accéder aux comptes Windows locaux.
La majeure partie de cette activité a débuté le 4 octobre, comme l’a observé la plate-forme de cybersécurité gérée Huntress dans plusieurs environnements clients.
“Les acteurs de la menace s’authentifient rapidement sur plusieurs comptes sur des appareils compromis », ont déclaré les chercheurs, ajoutant que » la rapidité et l’ampleur de ces attaques impliquent que les attaquants semblent contrôler des informations d’identification valides plutôt que de forcer brutalement.”
Les attaques ont affecté plus de 100 comptes SSLVPN SonicWall dans 16 environnements protégés par Huntress, indiquant une campagne importante et généralisée qui était toujours en cours le 10 octobre.
Dans la plupart des cas, les requêtes malveillantes provenaient de l’adresse IP 202.155.8[.]73, ont déclaré les chercheurs.
Après l’étape d’authentification, Huntress a observé une activité spécifique aux étapes de reconnaissance et de déplacement latéral d’une attaque alors que l’auteur de la menace tentait d’accéder à un grand nombre de comptes Windows locaux.
Huntress souligne qu’ils n’ont trouvé aucune preuve reliant la série de compromissions qu’ils ont observées à la récente violation de SonicWall qui a exposé les fichiers de configuration du pare-feu pour tous les clients de sauvegarde dans le cloud.
Parce qu’ils contiennent des données hautement sensibles, ces fichiers sont codés et les informations d’identification et les secrets qu’ils contiennent sont cryptés individuellement à l’aide de l’algorithme AES-256.
Alors qu’un attaquant pouvait décoder les fichiers, il verrait les mots de passe et les clés d’authentification sous forme cryptée, a expliqué la société de sécurité réseau.
Breachtrace a contacté SonicWall pour un commentaire sur l’activité observée par les chercheurs de Huntress, mais aucune déclaration n’était immédiatement disponible.
Selon la liste de contrôle de sécurité de SonicWall, les administrateurs système doivent prendre les mesures de protection suivantes:
- Réinitialisez et mettez à jour tous les mots de passe des utilisateurs locaux et les codes d’accès temporaires
- Mettre à jour les mots de passe sur les serveurs LDAP, RADIUS ou TACACS+
- Secrets de mise à jour dans toutes les stratégies IPSec de site à site et GroupVPN
- Mettre à jour les mots de passe d’interface WAN L2TP/PPPoE/PPTP
- Réinitialisez les interfaces WAN L2TP / PPPoE / PPTP
Huntress propose des mesures supplémentaires consistant à restreindre immédiatement la gestion du WAN et l’accès à distance lorsqu’ils ne sont pas nécessaires, et à désactiver ou limiter les VPN HTTP, HTTPS, SSH et SSL jusqu’à ce que tous les secrets soient tournés.
Les clés API externes, le DNS dynamique et les informations d’identification SMTP/FTP doivent également être révoqués, et les secrets d’automatisation pertinents pour le pare-feu et les systèmes de gestion doivent être invalidés.
Tous les comptes administrateurs et distants doivent être protégés par une authentification multifacteur. La réintroduction du service doit être effectuée de manière échelonnée afin de détecter toute activité suspecte à chaque étape.