L’enquête de SonicWall sur la faille de sécurité de septembre qui a exposé les fichiers de sauvegarde de la configuration du pare-feu des clients conclut que des pirates informatiques parrainés par l’État étaient à l’origine de l’attaque.
La société de sécurité réseau affirme que les intervenants en cas d’incident de Mandiant ont confirmé que l’activité malveillante n’avait aucun impact sur les produits, micrologiciels, systèmes, outils, code source ou réseaux clients de SonicWall.
« L’enquête Mandiant est maintenant terminée. Leurs conclusions confirment que l’activité malveillante-menée par un acteur de menace parrainé par un État-a été isolée de l’accès non autorisé aux fichiers de sauvegarde dans le cloud à partir d’un environnement cloud spécifique à l’aide d’un appel d’API”, déclare SonicWall.
“L’incident n’a eu aucun impact sur les produits ou le micrologiciel SonicWall. Aucun autre système ou outil SonicWall, code source ou réseau client n’a été perturbé ou compromis”, déclare le fournisseur.
Le 17 septembre, la société américaine a révélé « un incident qui a exposé des fichiers de sauvegarde de configuration de pare-feu stockés dans certains comptes MySonicWall. »
Un attaquant pourrait extraire de ces fichiers des informations sensibles, telles que des informations d’identification et des jetons d’accès, qui pourraient lui faciliter considérablement l’exploitation des pare-feu d’un client.
La société a immédiatement conseillé aux clients de réinitialiser leurs informations d’identification de compte MySonicWall, leurs codes d’accès temporaires, leurs mots de passe pour les serveurs LDAP, RADIUS ou TACACS+, les mots de passe pour les interfaces WAN L2TP/PPPoE/PPTP et les secrets partagés dans les stratégies IPSec site à site et GroupVPN.
Dans une mise à jour du 9 octobre, SonicWall a déclaré que la faille de sécurité affectait tous les clients qui utilisaient le service de sauvegarde cloud de l’entreprise pour stocker les fichiers de configuration du pare-feu.
L’enquête est maintenant terminée et le fournisseur de sécurité réseau déclare que la violation a été confinée à une partie spécifique de son environnement et n’a pas eu d’impact sur la sécurité de ses produits.
En outre, la société a assuré que l’activité de l’État-nation enquêtée n’avait aucun lien avec les attaques du gang de ransomwares Akira qui ciblaient les comptes VPN SonicWall protégés par MFA fin septembre.
Plus récemment, le 13 octobre, Huntress a signalé avoir constaté une activité malveillante élevée ciblant les comptes SonicWall SSLVPN et avoir réussi à compromettre plus d’une centaine d’entre eux à l’aide d’informations d’identification valides.
Huntress n’a trouvé aucune preuve reliant ces attaques à l’exposition des fichiers de configuration du pare-feu de septembre, et SonicWall n’a pas répondu à nos demandes à ce sujet.