SonicWall telah mengonfirmasi bahwa semua pelanggan yang menggunakan layanan pencadangan cloud perusahaan terkena dampak pelanggaran keamanan bulan lalu.
Sebelumnya, vendor menyatakan bahwa insiden tersebut “mengekspos file cadangan konfigurasi firewall yang disimpan di akun MySonicWall tertentu,” tanpa memberikan rincian tambahan.
MySonicWall adalah portal pelanggan online yang digunakan untuk mengelola akses produk, perizinan, registrasi, pembaruan firmware, kasus dukungan, dan pencadangan cloud untuk konfigurasi firewall (file .EXP).
Pada 17 September, perusahaan memperingatkan pelanggan untuk melakukan hal tersebut mengatur ulang kredensial akun MySonicWall mereka untuk melindungi file cadangan konfigurasi firewall mereka yang berpotensi diakses oleh pihak tidak berwenang yang telah melanggar sistemnya.
Untuk membantu administrator menavigasi risiko yang berasal dari pelanggaran, perusahaan menyediakan langkah-langkah penting prosedur penyetelan ulang, yang harus mencakup semua kredensial, kunci API, dan token autentikasi pengguna, akun VPN, dan layanan.
Perusahaan menyediakan daftar periksa “untuk memastikan semua kata sandi, kunci, dan rahasia yang relevan diperbarui secara konsisten.” Tindakan kritis mengacu pada prioritas berikut:
- mengatur ulang dan memperbarui kata sandi semua pengguna lokal
- mengatur ulang kode akses sementara (TOTP) untuk pengguna lokal
- memperbarui kata sandi di server LDAP, RADIUS, atau TACACS+
- memperbarui rahasia bersama di semua kebijakan IPSec situs-ke-situs dan GroupVPN
- memperbarui kata sandi yang digunakan untuk antarmuka WAN L2TP/PPPoE/PPTP
- menyetel ulang kunci API Cloud Secure edge (CSE).
Daftar ini juga mencakup tindakan yang tidak terlalu penting, yang merujuk pada pembaruan kunci AWS untuk logging dan integrasi VPN, mengatur ulang kredensial pengguna SNMPv3, dan memperbarui kata sandi untuk koneksi WWAN.
“Akses ke file konfigurasi firewall yang terekspos berisi informasi yang dapat membuat eksploitasi firewall jauh lebih mudah bagi pelaku ancaman,” SonicWall memperingatkan pada saat itu, juga menerbitkan rinciannya. panduan remediasi.
Pada saat itu, SonicWall menetapkan bahwa sekitar 5% pelanggan firewallnya menggunakan layanan cadangan cloud.
Dalam pembaruan yang dipublikasikan kemarin, vendor mengatakan bahwa insiden tersebut berdampak pada semua pelanggan yang menggunakan portal cadangan cloud untuk menyimpan file konfigurasi firewall.
“SonicWall telah menyelesaikan penyelidikannya, yang dilakukan bekerja sama dengan Firma IR terkemuka, Mandiant, terhadap cakupan insiden keamanan cadangan cloud baru-baru ini,” membaca buletin yang diperbarui.
“Penyelidikan mengonfirmasi bahwa pihak yang tidak berwenang mengakses file cadangan konfigurasi firewall untuk semua pelanggan yang telah menggunakan layanan cadangan cloud SonicWall.”
File yang terbuka berisi kredensial dan data konfigurasi terenkripsi AES-256.
Pengguna kini dapat memeriksa apakah perangkat mereka termasuk yang terkena dampak dengan masuk ke MySonicWall dan membuka ‘Manajemen Produk → Daftar Masalah.’
Jika ada item tindakan yang menunggu peninjauan di sana, pengguna harus mengikuti Reset Kredensial Penting langkah-langkahnya, memprioritaskan firewall aktif yang terhubung ke internet.
Meskipun SonicWall telah menyatakan bahwa penyelidikan telah selesai, sebaiknya administrator sistem terus memantau peringatan MySonicWall secara berkala untuk mengetahui daftar terbaru perangkat yang terkena dampak.
Memperbarui [10:28]: Artikel diperbarui dengan daftar langkah perbaikan penting dari SonicWall
Acara Validasi Keamanan Tahun Ini: Picus BAS Summit
Bergabunglah dengan KTT Simulasi Pelanggaran dan Serangan dan mengalami masa depan validasi keamanan. Dengarkan dari pakar terkemuka dan lihat caranya BAS bertenaga AI sedang mengubah simulasi pelanggaran dan serangan.
Jangan lewatkan acara yang akan membentuk masa depan strategi keamanan Anda
