Производитель сетевой безопасности SonicWall предупредил клиентов о необходимости незамедлительной ротации паролей и секретов после инцидента, при котором злоумышленники получили доступ к облачным резервным копиям конфигураций файрволов, связанным с учетными записями MySonicWall. Компания заявляет, что доступ атакующих уже заблокирован, а расследование ведется совместно с профильными госструктурами и правоохранительными органами.
Что произошло: атака на API и доступ к конфигурациям
Согласно официальной информации, злоумышленники проводили брютфорс-атаки на API-сервис, отвечающий за облачные бэкапы. В ряде случаев это позволило им получить резервные копии конфигураций устройств. Менее 5% от общего парка файрволов SonicWall имели бэкапы, к которым удалось обратиться атакующим.
SonicWall подчеркивает, что хотя сохраненные в конфигурациях пароли хранились в зашифрованном виде, в файлах присутствовали данные, которые могут упростить эксплуатацию устройств. Речь идет о параметрах, сетевых правилах, адресации, настройках VPN и иных деталях, которые помогают злоумышленникам готовить таргетированные атаки.
Компания отмечает, что на данный момент нет признаков публичной публикации похищенных файлов, и инцидент не носил характера вымогательства. Тем не менее, конфигурации потенциально могли содержать учетные данные и токены для сторонних сервисов, задействованных на устройствах в инфраструктурах пострадавших организаций.
Каковы риски для организаций
Конфигурация файрвола — это «карта сети» с маршрутами, политиками доступа, объектами, профилями пользователей и параметрами сервисов. Доступ к таким данным снижает трудозатраты атакующих на разведку и повышает вероятность успешного обхода защитных механизмов. Возможные сценарии включают подбор или повторное использование известных секретов, имитацию легитимных VPN-пиров, несанкционированные изменения политик и попытки аутентификации через привязанные каталоги (LDAP/RADIUS).
Практика отрасли показывает, что компрометация учетных данных — один из ключевых факторов киберинцидентов; конфигурационные бэкапы, даже без открытых паролей, часто дают злоумышленникам контекст, достаточный для последующей эскалации. Это особенно критично для распределенных сетей, где файрволы выступают узлами удаленного доступа и межсегментной фильтрации.
Рекомендации SonicWall и дополнительные меры защиты
SonicWall рекомендует как можно скорее перенастроить все потенциально затронутые секреты и усилить мониторинг активности. В перечень приоритетов входят пароли и общие секреты, а также ключи шифрования, используемые на устройствах. Отдельно указано, что ротация может потребоваться не только в SonicOS, но и на сторонних сервисах, включая провайдеров интернета, Dynamic DNS, почтовые системы, удаленных IPSec VPN-пиров, а также LDAP/RADIUS.
Дополнительно целесообразно: 1) сбросить администраторские пароли на всех затронутых устройствах и включить MFA для MySonicWall; 2) обновить предустановленные ключи IPSec и, при необходимости, перевыпустить сертификаты; 3) провести аудит журналов аутентификации и изменений конфигураций, настроить отправку логов в SIEM и алерты на нетипичные события (новые админ-аккаунты, неожиданные VPN-подключения, модификации правил доступа); 4) уточнить политику хранения бэкапов: разграничить доступ, зашифровать архивы отдельными ключами, ограничить доступ по IP (allowlist) и включить ограничение скорости и блокировку по неудачным попыткам входа в API; 5) убедиться, что прошивки устройств актуальны, а ненужные сервисы отключены по принципу наименьших привилегий.
Как выявить возможную эксплуатацию
Признаками злоупотребления могут быть неожиданные изменения конфигураций, создание новых правил и объектов, появление незнакомых административных учетных записей, резкий рост отказов в аутентификации, а также аномальные подключения VPN из непривычных географий. Рекомендуется оперативно сравнить текущие конфигурации с «золотыми эталонами», провести инвентаризацию ключей и токенов, а также проверить внешние интерфейсы на предмет открытых портов и сервисов, не предусмотренных стандартом вашей организации.
Контекст инцидента и оценка
Поверхность атаки современных решений безопасности включает не только сами устройства, но и связанные облачные сервисы и порталы управления. Брютфорс API остается действенным в случаях слабых паролей, отсутствия MFA или недостаточных механизмов защиты на стороне сервисов. В данном эпизоде важны два факта: затронут ограниченный процент устройств, и пока нет свидетельств публичного слива данных. Тем не менее, сам характер компрометации конфигураций требует превентивных действий и пересмотра практик управления секретами и бэкапами.
Своевременная ротация паролей и ключей, ужесточение контроля доступа к MySonicWall, расширенный мониторинг и проверка конфигураций — необходимые шаги, которые помогут снизить риск последующей эксплуатации. Организациям стоит также пересмотреть стратегию резервного копирования: ограничить круг лиц и сервисов с доступом к бэкапам, хранить их в зашифрованном виде и регулярно тестировать план реагирования на инциденты. Подпишитесь на обновления производителя и следуйте официальным бюллетеням, чтобы оперативно получать новые индикаторы компрометации и рекомендации.
