Az újabb SonicWall-botrány: VPN-fiókok sorra omlanak össze

Több mint száz SonicWall SSLVPN-fiókot törtek fel ismeretlenek világszerte érvényes, ellopott hitelesítő adatokkal. A támadók gyakran villámgyorsan jelentkeztek be különböző fiókokba, ami arra utal, hogy valódi jelszavakat használtak, nem pedig feltöréssel próbálkoztak. Az akciók jellemzően október 4-én indultak, többféle védelmi környezetben is kimutatható aktivitással, és október 10-én még folytatódtak.

Profi hálózati feltérképezés és helyi hozzáférési kísérletek

A támadások többsége ugyanabból az IP-címből indult (202.155.8.73), a bejelentkezés után pedig az elkövetők rendszerint helyi Windows-fiókokhoz próbáltak hozzáférni, illetve belső hálózati feltérképezést végeztek. Bár sok esetben gyorsan lekapcsolódtak, néhány esetben komolyabb hálózati mozgást is megfigyeltek. A vizsgálat szerint jelenleg nincs bizonyíték arra, hogy ezek az akciók összefüggenének a SonicWall legutóbbi, felhőalapú ügyfeleket érintő incidensével.

Mit lehet most tenni?

A jelszavakat és titkos adatokat AES-256 kód védi, ám ezek dekódolásával is csak titkosított formában férhetnek hozzá a támadók a rendszerekhez. A védekezés érdekében minden adminisztrátori és helyi jelszót, ideiglenes belépési kódot, szerveroldali hitelesítést, csoport- és alközponti VPN, valamint WAN interfész jelszavakat azonnal frissíteni kell. Javasolt ideiglenesen lekapcsolni az internetes menedzsmentet, valamint a HTTP-, HTTPS-, SSH- és SSL VPN-hozzáférést, amíg a titkos adatokat és jogosultságokat nem cserélték le. Ajánlott továbbá a kifelé mutató API-kulcsok, dinamikus DNS-, SMTP- és FTP-hozzáférések azonnali visszavonása, valamint minden adminisztrátori fiókhoz többfaktoros hitelesítés bevezetése. A szolgáltatások újraindítását csak szakaszosan, további gyanús aktivitás figyelésével szabad elvégezni.

2025, adrienne, www.bleepingcomputer.com alapján