Firma SonicWall, producent znanych zapór sieciowych (firewalli) oraz sprzętu do zapewniania bezpiecznego dostępu mobilnego (Secure Mobile Access), padła ostatnio ofiarą poważnego incydentu bezpieczeństwa. Tym razem nie chodziło o lukę w sprzęcie ani ransomware, ale o wykorzystanie kopii zapasowych konfiguracji zapór, przechowywanych w chmurze. Atakujący wykorzystali technikę ataku brute force w celu dostania się do plików backupów (preference files) w usłudze MySonicWall, zawierających niemal pełną konfigurację urządzeń.
Co się wydarzyło?
- SonicWall potwierdziło, iż atakującym udało się przełamać (atakiem brute force) zabezpieczenia usługi backupu w chmurze dla mniej niż 5% wszystkich instalacji jego zapór.
- Nie jest to incydent związany z ransomware – atak nie został zgłoszony jako zdarzenie tego typu. Celem było uzyskanie dostępu do plików preferencji (preference files) zapór, zawierających konfigurację, do potencjalnego dalszego użycia przez przestępców.
- SonicWall nie stwierdziło, by pliki te zostały dotychczas ujawnione.
Aspekty techniczne kopii zapasowych i zawartość plików konfiguracji
Plik backupu lub preference file zapory SonicWall to eksport całej konfiguracji urządzenia z momentu wykonania kopii. Zawiera m.in.:
- ustawienia systemowe i urządzenia,
- konfiguracje sieciowe, routing, reguły zapory,
- reguły firewall i włączone usługi zabezpieczeń,
- konfiguracje VPN: ustawienia, polityki, klucze (np. IPSec),
- konta użytkowników i grup, zasady haseł, polityki bezpieczeństwa.
Mimo iż hasła zapisane w plikach backupów były zaszyfrowane, inne dane mogą ułatwić atakującym późniejsze ataki na urządzenie zapory – np. znajomość reguł, konfiguracji sieci, usług, które były aktywne w chwili backupu.
Reakcja SonicWall i działania naprawcze
SonicWall podjęło szereg działań, by ograniczyć skutki incydentu oraz pomóc klientom w zabezpieczeniu się:
- Wyłączenie funkcji backupu w chmurze (backup feature) – by uniemożliwić dalsze nieautoryzowane dostępy do usługi.
- Przegląd infrastruktury i procedur w celu wzmocnienia bezpieczeństwa.
- Wezwanie klientów, by:
- zalogowali się do portalu MySonicWall i sprawdzili, czy kopie zapasowe są włączone dla ich zapór,
- sprawdzili, czy seriale ich urządzeń zostały wskazane jako „zagrożone” w systemie – SonicWall oznacza takie urządzenia banerem w interfejsie.
- Dostarczenie do importu nowych plików konfiguracji (preference files), które bazują na najnowszym backupie, ale są zmutowane pod względem kluczowych danych:
- nowe losowe hasła lokalnych użytkowników,
- zresetowane powiązania TOTP (jeśli były używane) – czyli tokeny uwierzytelniania dwuskładnikowego,
- klucze pre-shared do tuneli IPSec VPN – te będą wymagać manualnej konfiguracji po imporcie.
- Zalecenie, by działania te wykonano w czasie, gdy obciążenie sieci jest najmniejsze, gdyż import nowej konfiguracji powoduje restart firewalla.
Zagrożenia i potencjalne konsekwencje
Choć kryptografia zabezpieczająca hasła w plikach backupu jest istotna, ujawnienie konfiguracji stwarza wiele możliwości dla atakujących:
- Możliwość analizy reguł zapór – wiedza o tym, co jest dozwolone, a co blokowane, może doprowadzić do planowania ruchu atakującego, który ominie zabezpieczenia.
- Dostęp do informacji o VPN, certyfikatach, kluczach pre-shared – jeżeli atakujący mają te dane, choćby w zaszyfrowanej formie, mogą próbować je odszyfrować lub wykorzystać w atakach słownikowych, jeżeli były użyte słabe klucze.
- Potencjalne wykorzystanie kont lokalnych, kont administratorów, dzięki znajomości kont i ich konfiguracji.
- Możliwość eskalacji – jeżeli procedury MFA / TOTP nie były wdrożone poprawnie lub były „wiązane” w pliku backupu, atakujący mogą manipulować procesem uwierzytelniania.
Zalecenia dla użytkowników i organizacji
Jeśli w twojej organizacji używane są firewalle SonicWall i funkcja backupów w chmurze, poniżej znajdziesz listę kroków, które należy pilnie wdrożyć:
- Szybka weryfikacja stanu backupu
- Wejdź do MySonicWall i sprawdź, które z twoich urządzeń mają włączone kopie zapasowe.
- Sprawdź, czy numer seryjny twojego firewalla jest oznaczony jako zagrożony.
- Rotacja haseł i kluczy
- Zmień hasła wszystkich lokalnych użytkowników i administratorów; usuń lub odłącz TOTP i wymuś ponowne zarejestrowanie.
- Zaktualizuj i wygeneruj nowe klucze pre-shared do wszystkich VPN-ów (np. IPSec), zmień je we wszystkich punktach końcowych (peerach).
- Zresetuj użytkowników/sekrety używane w LDAP, RADIUS, TACACS+, SNMP, a także wszelkie usługi zewnętrzne, które były powiązane z zaporą (np. usługi Dynamic DNS, integracje z chmurą).
- Ograniczenie powierzchni ataku
- Wyłącz zarządzanie urządzeniem przez WAN (HTTP, HTTPS, SSH) tam, gdzie to możliwe.
- Ogranicz dostęp do VPN-ów i usług zdalnych do zaufanych adresów IP.
- Na czas wdrożenia nowych konfiguracji usuń lub ogranicz dostęp z Internetu do serwisów, które mogą być wektorem ataku.
- Import zmienionej konfiguracji
- Skorzystaj z nowych plików preferencji udostępnionych przez SonicWall – mają one zanonimizowane lub zmienione krytyczne dane (hasła, klucze).
- Importuj nowe pliki konfiguracji w czasie okna serwisowego (maintenance window), kiedy restart zapory będzie najmniej uciążliwy.
- Monitorowanie i audyt
- Sprawdzaj logi systemowe i audytowe – szczególnie nieudane próby logowań, zmiany konfiguracji, próby dostępu spoza organizacji.
- Upewnij się, iż mechanizmy MFA / TOTP są poprawnie skonfigurowane i nie zostały naruszone.
- Przeprowadź audyt wszystkich urządzeń i usług współpracujących z zaporami – szczególnie VPN-ów, usług zarządzania, integracji z chmurą.
Podsumowanie
Atak na backupy konfiguracji w MySonicWall to przypomnienie, iż choćby „z czegoś, co jest kopią zapasową” mogą płynąć realne zagrożenia, jeżeli dane są odpowiednio wrażliwe – a konfiguracje zapór sieciowych do takich należą. Choć atakujący nie wykorzystywali luki typu zero-day w kodzie zapór (tj. nie było bezpośredniego błędu bezpieczeństwa w firmware), sama informacja o konfiguracji może dawać przewagę: wiedzę o tym, co jest włączone, jakie klucze stosowane, jakie punkty dostępu istnieją.
Kluczowe jest, by użytkownicy i administratorzy reagowali szybko: weryfikowali, które urządzenia są zagrożone, resetowali hasła dla kont, ograniczali dostęp, importowali nowe, bezpieczniejsze konfiguracje. Warto pamiętać, iż ochrona to nie tylko zabezpieczenie sprzętu, ale także kontrola nad danymi konfiguracyjnymi i tym, jak są przechowywane.