SonicWall reveló el miércoles que una parte no autorizada accedió a los archivos de copia de seguridad de la configuración del firewall de todos los clientes que utilizaron el servicio de copia de seguridad en la nube.
«Los archivos contienen credenciales y datos de configuración cifrados; mientras el cifrado permanezca, la posesión de estos archivos podría aumentar el riesgo de ataques dirigidos», dijo la compañía.
También señaló que está trabajando para notificar a todos los socios y clientes, y agregó que ha lanzado herramientas para ayudar con la evaluación y reparación de dispositivos. La compañía también insta a los usuarios a iniciar sesión y verificar sus dispositivos.
El desarrollo se produce un par de semanas después de que SonicWall instara a los clientes a realizar un restablecimiento de credenciales después de que los archivos de respaldo de la configuración de su firewall quedaran expuestos en una violación de seguridad que afectó las cuentas de MySonicWall.
A la lista de dispositivos afectados disponible en el portal MySonicWall se le ha asignado un nivel de prioridad para ayudar a los clientes a priorizar los esfuerzos de remediación. Las etiquetas son las siguientes:
- Activo – Alta prioridad: dispositivos con servicios de Internet habilitados
- Activo – Prioridad más baja: dispositivos sin servicios de Internet
- Inactivo: dispositivos que no han hecho ping a casa durante 90 días
La última autopsia marca un giro radical con respecto a su evaluación inicial cuando afirmó que los actores de amenazas accedieron a archivos de preferencias de firewall de respaldo almacenados en la nube para menos del 5% de sus clientes. También afirmó que si bien las credenciales dentro de esos archivos estaban cifradas, también incluían «información que podría facilitar que los atacantes explotaran potencialmente el firewall relacionado».
Actualmente no se sabe cuántos de sus clientes utilizan el servicio de copia de seguridad en la nube. SonicWall aún no ha revelado cuándo comenzaron los ataques ni quién está detrás de la actividad. Sin embargo, la compañía dijo que desde entonces ha «reforzado» su infraestructura, ha aplicado registros adicionales e introducido controles de autenticación más estrictos para evitar que se repita.
Se recomienda a los usuarios que sigan los pasos a continuación con efecto inmediato:
- Inicie sesión en la cuenta MySonicWall.com y verifique si existen copias de seguridad en la nube para los firewalls registrados.
- Si los campos están en blanco, no hay ningún impacto.
- Si los campos contienen detalles de la copia de seguridad, verifique si los números de serie afectados aparecen en la cuenta
- Si se muestran números de serie, los usuarios deben seguir las pautas de contención y corrección para los firewalls enumerados.
SonicWall dijo que en los casos en que los clientes hayan utilizado la función de copia de seguridad en la nube pero no se muestren números de serie o solo se muestren algunos de los números de serie registrados, proporcionará orientación adicional en los próximos días.