SonicWall a averti aujourd’hui les clients de réinitialiser leurs informations d’identification après que leurs fichiers de sauvegarde de configuration de pare-feu ont été exposés à une faille de sécurité qui a affecté les comptes MySonicWall.
Après avoir détecté l’incident, SonicWall a coupé l’accès des attaquants à ses systèmes et a collaboré avec les agences de cybersécurité et d’application de la loi pour enquêter sur l’impact de l’attaque.
« Dans le cadre de notre engagement en matière de transparence, nous vous informons d’un incident qui a exposé des fichiers de sauvegarde de configuration de pare-feu stockés dans certains comptes MySonicWall », a déclaré mercredi la société de cybersécurité.
« L’accès aux fichiers de configuration du pare-feu exposés contient des informations qui pourraient faciliter considérablement l’exploitation des pare-feu pour les auteurs de menaces. »
Les conséquences de l’incident pourraient être désastreuses, car ces sauvegardes exposées pourraient donner aux auteurs de menaces l’accès à des informations sensibles, telles que des informations d’identification et des jetons, pour tout ou partie des services exécutés sur les appareils SonicWall sur leurs réseaux.
SonicWall a également publié des conseils détaillés pour aider les administrateurs à minimiser le risque qu’une configuration de pare-feu exposée soit exploitée pour accéder à leurs réseaux, reconfigurer les secrets et mots de passe potentiellement compromis et détecter une éventuelle activité de menace au sein de leur réseau.
« La liste de contrôle suivante fournit une approche structurée pour garantir que tous les mots de passe, clés et secrets pertinents sont mis à jour de manière cohérente. L’exécution de ces étapes permet de maintenir la sécurité et de protéger l’intégrité de votre environnement SonicWall. Les éléments critiques sont répertoriés en premier. Toutes les autres informations d’identification doivent être mises à jour à votre convenance », a averti la société.
« Veuillez noter que les mots de passe, secrets partagés et clés de chiffrement configurés dans SonicOS peuvent également devoir être mis à jour ailleurs, par exemple avec le FAI, le fournisseur DNS dynamique, le fournisseur de messagerie, le pair VPN IPSec distant ou le serveur LDAP/RADIUS, pour n’en nommer que quelques-uns. »
Ces instructions conseillent aux administrateurs de désactiver ou de restreindre l’accès aux services sur l’appareil à partir du WAN avant de réinitialiser les informations d’identification. Ensuite, ils doivent réinitialiser toutes les informations d’identification, clés API et jetons d’authentification utilisés par les utilisateurs, les comptes VPN et les services.
Une liste complète des services qui doivent être réinitialisés en raison des fichiers de configuration volés est répertoriée dans ce bulletin d’assistance essentiel sur la réinitialisation des informations d’identification.
Breachtrace a contacté SonicWall pour lui poser des questions sur l’incident, mais aucune réponse n’était immédiatement disponible.
En août, SonicWall a rejeté les informations selon lesquelles le gang de ransomwares Akira violait les pare-feu de génération 7 avec SSLVPN activé à l’aide d’un exploit potentiel de jour zéro, déclarant qu’il était en fait lié à CVE-2024-40766, une faille critique de contrôle d’accès SSLVPN dans SonicOS qui a été corrigée en novembre 2024.
La semaine dernière, la théorie de l’entreprise a été confirmée lorsque l’Australian Cyber Security Center (ACSC) et la société de cybersécurité Rapid7 ont confirmé que le gang de ransomwares Akira exploitait désormais la vulnérabilité CVE-2024-40766 pour compromettre les appareils SonicWall non corrigés.