Milyen adatok kerültek veszélybe?
Egy ismeretlen támadó az ügyfelek tűzfal-konfigurációit tartalmazó mentésekhez jutott hozzá, ezek AES-256-tal titkosított hitelesítő adatokat és konfigurációs információkat tartalmaztak. Korábban a SonicWall mindenkit arra figyelmeztetett, hogy sürgősen cseréljék le minden helyi felhasználó jelszavát, az ideiglenes hitelesítő kódokat (TOTP), az LDAP-, RADIUS- vagy TACACS+ szervereken lévő jelszavakat, az IPSec és GroupVPN megosztott titkait, valamint az L2TP/PPPoE/PPTP WAN interfészek jelszavait. A Cloud Secure Edge (CSE) API-kulcsot is frissíteni kellett.
Mit kell most tenni?
A kisebb veszélyt jelentő, de ajánlott lépések közé tartozik például az AWS naplókulcsok, SNMPv3-felhasználók hitelesítő adatainak, illetve a WWAN-kapcsolatok jelszavainak frissítése is. Az ügyfelek a MySonicWall portálon, a „Product Management Issue List” menüpontban ellenőrizhetik, hogy saját eszközeik érintettek-e. A sürgős teendőket – különösen az aktív, internetre csatlakozó tűzfalakon – a lehető leghamarabb végre kell hajtani.
Mi várható ezután?
Bár a SonicWall hivatalosan lezárta a vizsgálatot (a Mandiant szakértőivel közösen), a rendszergazdáknak továbbra is ajánlott rendszeresen figyelniük a MySonicWall riasztásait és az érintett eszközök frissített listáját. Az incidens rámutatott, mennyire sérülékenyek lehetnek a felhőbe mentett bizalmas hálózati információk, ezért a frissítések és jelszócserék nem maradhatnak el. A SonicWall korábban úgy becsülte, hogy az ügyfelek 5 százaléka használja ezt a felhőmentési funkciót – most viszont minden ilyen ügyfél érintettnek számít.
