Backup czy luka? Jak atak na kopie zapasowe SonicWall otworzył drzwi cyberprzestępcom

Firma SonicWall, producent znanych zapór sieciowych (firewalli) oraz sprzętu do zapewniania bezpiecznego dostępu mobilnego (Secure Mobile Access), padła ostatnio ofiarą poważnego incydentu bezpieczeństwa. Tym razem nie chodziło o lukę w sprzęcie ani ransomware, ale o wykorzystanie kopii zapasowych konfiguracji zapór, przechowywanych w chmurze. Atakujący wykorzystali technikę ataku brute force w celu dostania się do plików backupów (preference files) w usłudze MySonicWall, zawierających niemal pełną konfigurację urządzeń.

Co się wydarzyło?

• SonicWall potwierdziło, iż atakującym udało się przełamać (atakiem brute force) zabezpieczenia usługi backupu w chmurze dla mniej niż 5% wszystkich instalacji jego zapór.
• Nie jest to incydent związany z ransomware – atak nie został zgłoszony jako zdarzenie tego typu. Celem było uzyskanie dostępu do plików preferencji (preference files) zapór, zawierających konfigurację, do potencjalnego dalszego użycia przez przestępców.
• SonicWall nie stwierdziło, by pliki te zostały dotychczas ujawnione.

Aspekty techniczne kopii zapasowych i zawartość plików konfiguracji

Plik backupu lub preference file zapory SonicWall to eksport całej konfiguracji urządzenia z momentu wykonania kopii. Zawiera m.in.:

• ustawienia systemowe i urządzenia,
• konfiguracje sieciowe, routing, reguły zapory,
• reguły firewall i włączone usługi zabezpieczeń,
• konfiguracje VPN: ustawienia, polityki, klucze (np. IPSec),
• konta użytkowników i grup, zasady haseł, polityki bezpieczeństwa.

Mimo iż hasła zapisane w plikach backupów były zaszyfrowane, inne dane mogą ułatwić atakującym późniejsze ataki na urządzenie zapory – np. znajomość reguł, konfiguracji sieci, usług, które były aktywne w chwili backupu.

Reakcja SonicWall i działania naprawcze

SonicWall podjęło szereg działań, by ograniczyć skutki incydentu oraz pomóc klientom w zabezpieczeniu się:

1. Wyłączenie funkcji backupu w chmurze (backup feature) – by uniemożliwić dalsze nieautoryzowane dostępy do usługi.
2. Przegląd infrastruktury i procedur w celu wzmocnienia bezpieczeństwa.
3. Wezwanie klientów, by:
   • zalogowali się do portalu MySonicWall i sprawdzili, czy kopie zapasowe są włączone dla ich zapór,
   • sprawdzili, czy seriale ich urządzeń zostały wskazane jako „zagrożone” w systemie – SonicWall oznacza takie urządzenia banerem w interfejsie.
4. Dostarczenie do importu nowych plików konfiguracji (preference files), które bazują na najnowszym backupie, ale są zmutowane pod względem kluczowych danych:
   • nowe losowe hasła lokalnych użytkowników,
   • zresetowane powiązania TOTP (jeśli były używane) – czyli tokeny uwierzytelniania dwuskładnikowego,
   • klucze pre-shared do tuneli IPSec VPN – te będą wymagać manualnej konfiguracji po imporcie.
5. Zalecenie, by działania te wykonano w czasie, gdy obciążenie sieci jest najmniejsze, gdyż import nowej konfiguracji powoduje restart firewalla.

Zagrożenia i potencjalne konsekwencje

Choć kryptografia zabezpieczająca hasła w plikach backupu jest istotna, ujawnienie konfiguracji stwarza wiele możliwości dla atakujących:

• Możliwość analizy reguł zapór – wiedza o tym, co jest dozwolone, a co blokowane, może doprowadzić do planowania ruchu atakującego, który ominie zabezpieczenia.
• Dostęp do informacji o VPN, certyfikatach, kluczach pre-shared – jeżeli atakujący mają te dane, choćby w zaszyfrowanej formie, mogą próbować je odszyfrować lub wykorzystać w atakach słownikowych, jeżeli były użyte słabe klucze.
• Potencjalne wykorzystanie kont lokalnych, kont administratorów, dzięki znajomości kont i ich konfiguracji.
• Możliwość eskalacji – jeżeli procedury MFA / TOTP nie były wdrożone poprawnie lub były „wiązane” w pliku backupu, atakujący mogą manipulować procesem uwierzytelniania.

Zalecenia dla użytkowników i organizacji

Jeśli w twojej organizacji używane są firewalle SonicWall i funkcja backupów w chmurze, poniżej znajdziesz listę kroków, które należy pilnie wdrożyć:

1. Szybka weryfikacja stanu backupu
   • Wejdź do MySonicWall i sprawdź, które z twoich urządzeń mają włączone kopie zapasowe.
   • Sprawdź, czy numer seryjny twojego firewalla jest oznaczony jako zagrożony.
2. Rotacja haseł i kluczy
   • Zmień hasła wszystkich lokalnych użytkowników i administratorów; usuń lub odłącz TOTP i wymuś ponowne zarejestrowanie.
   • Zaktualizuj i wygeneruj nowe klucze pre-shared do wszystkich VPN-ów (np. IPSec), zmień je we wszystkich punktach końcowych (peerach).
   • Zresetuj użytkowników/sekrety używane w LDAP, RADIUS, TACACS+, SNMP, a także wszelkie usługi zewnętrzne, które były powiązane z zaporą (np. usługi Dynamic DNS, integracje z chmurą).
3. Ograniczenie powierzchni ataku
   • Wyłącz zarządzanie urządzeniem przez WAN (HTTP, HTTPS, SSH) tam, gdzie to możliwe.
   • Ogranicz dostęp do VPN-ów i usług zdalnych do zaufanych adresów IP.
   • Na czas wdrożenia nowych konfiguracji usuń lub ogranicz dostęp z Internetu do serwisów, które mogą być wektorem ataku.
4. Import zmienionej konfiguracji
   • Skorzystaj z nowych plików preferencji udostępnionych przez SonicWall – mają one zanonimizowane lub zmienione krytyczne dane (hasła, klucze).
   • Importuj nowe pliki konfiguracji w czasie okna serwisowego (maintenance window), kiedy restart zapory będzie najmniej uciążliwy.
5. Monitorowanie i audyt
   • Sprawdzaj logi systemowe i audytowe – szczególnie nieudane próby logowań, zmiany konfiguracji, próby dostępu spoza organizacji.
   • Upewnij się, iż mechanizmy MFA / TOTP są poprawnie skonfigurowane i nie zostały naruszone.
   • Przeprowadź audyt wszystkich urządzeń i usług współpracujących z zaporami – szczególnie VPN-ów, usług zarządzania, integracji z chmurą.

Podsumowanie

Atak na backupy konfiguracji w MySonicWall to przypomnienie, iż choćby „z czegoś, co jest kopią zapasową” mogą płynąć realne zagrożenia, jeżeli dane są odpowiednio wrażliwe – a konfiguracje zapór sieciowych do takich należą. Choć atakujący nie wykorzystywali luki typu zero-day w kodzie zapór (tj. nie było bezpośredniego błędu bezpieczeństwa w firmware), sama informacja o konfiguracji może dawać przewagę: wiedzę o tym, co jest włączone, jakie klucze stosowane, jakie punkty dostępu istnieją.

Kluczowe jest, by użytkownicy i administratorzy reagowali szybko: weryfikowali, które urządzenia są zagrożone, resetowali hasła dla kont, ograniczali dostęp, importowali nowe, bezpieczniejsze konfiguracje. Warto pamiętać, iż ochrona to nie tylko zabezpieczenie sprzętu, ale także kontrola nad danymi konfiguracyjnymi i tym, jak są przechowywane.