Backup czy luka? Jak atak na kopie zapasowe SonicWall otworzył drzwi cyberprzestępcom

kapitanhack.pl 3 tygodni temu

Firma SonicWall, producent znanych zapór sieciowych (firewalli) oraz sprzętu do zapewniania bezpiecznego dostępu mobilnego (Secure Mobile Access), padła ostatnio ofiarą poważnego incydentu bezpieczeństwa. Tym razem nie chodziło o lukę w sprzęcie ani ransomware, ale o wykorzystanie kopii zapasowych konfiguracji zapór, przechowywanych w chmurze. Atakujący wykorzystali technikę ataku brute force w celu dostania się do plików backupów (preference files) w usłudze MySonicWall, zawierających niemal pełną konfigurację urządzeń.

Co się wydarzyło?

  • SonicWall potwierdziło, iż atakującym udało się przełamać (atakiem brute force) zabezpieczenia usługi backupu w chmurze dla mniej niż 5% wszystkich instalacji jego zapór.
  • Nie jest to incydent związany z ransomware – atak nie został zgłoszony jako zdarzenie tego typu. Celem było uzyskanie dostępu do plików preferencji (preference files) zapór, zawierających konfigurację, do potencjalnego dalszego użycia przez przestępców.
  • SonicWall nie stwierdziło, by pliki te zostały dotychczas ujawnione.

Aspekty techniczne kopii zapasowych i zawartość plików konfiguracji

Plik backupu lub preference file zapory SonicWall to eksport całej konfiguracji urządzenia z momentu wykonania kopii. Zawiera m.in.:

  • ustawienia systemowe i urządzenia,
  • konfiguracje sieciowe, routing, reguły zapory,
  • reguły firewall i włączone usługi zabezpieczeń,
  • konfiguracje VPN: ustawienia, polityki, klucze (np. IPSec),
  • konta użytkowników i grup, zasady haseł, polityki bezpieczeństwa.

Mimo iż hasła zapisane w plikach backupów były zaszyfrowane, inne dane mogą ułatwić atakującym późniejsze ataki na urządzenie zapory – np. znajomość reguł, konfiguracji sieci, usług, które były aktywne w chwili backupu.

Reakcja SonicWall i działania naprawcze

SonicWall podjęło szereg działań, by ograniczyć skutki incydentu oraz pomóc klientom w zabezpieczeniu się:

  1. Wyłączenie funkcji backupu w chmurze (backup feature) – by uniemożliwić dalsze nieautoryzowane dostępy do usługi.
  2. Przegląd infrastruktury i procedur w celu wzmocnienia bezpieczeństwa.
  3. Wezwanie klientów, by:
    • zalogowali się do portalu MySonicWall i sprawdzili, czy kopie zapasowe są włączone dla ich zapór,
    • sprawdzili, czy seriale ich urządzeń zostały wskazane jako „zagrożone” w systemie – SonicWall oznacza takie urządzenia banerem w interfejsie.
  4. Dostarczenie do importu nowych plików konfiguracji (preference files), które bazują na najnowszym backupie, ale są zmutowane pod względem kluczowych danych:
    • nowe losowe hasła lokalnych użytkowników,
    • zresetowane powiązania TOTP (jeśli były używane) – czyli tokeny uwierzytelniania dwuskładnikowego,
    • klucze pre-shared do tuneli IPSec VPN – te będą wymagać manualnej konfiguracji po imporcie.
  5. Zalecenie, by działania te wykonano w czasie, gdy obciążenie sieci jest najmniejsze, gdyż import nowej konfiguracji powoduje restart firewalla.

Zagrożenia i potencjalne konsekwencje

Choć kryptografia zabezpieczająca hasła w plikach backupu jest istotna, ujawnienie konfiguracji stwarza wiele możliwości dla atakujących:

  • Możliwość analizy reguł zapór – wiedza o tym, co jest dozwolone, a co blokowane, może doprowadzić do planowania ruchu atakującego, który ominie zabezpieczenia.
  • Dostęp do informacji o VPN, certyfikatach, kluczach pre-shared – jeżeli atakujący mają te dane, choćby w zaszyfrowanej formie, mogą próbować je odszyfrować lub wykorzystać w atakach słownikowych, jeżeli były użyte słabe klucze.
  • Potencjalne wykorzystanie kont lokalnych, kont administratorów, dzięki znajomości kont i ich konfiguracji.
  • Możliwość eskalacji – jeżeli procedury MFA / TOTP nie były wdrożone poprawnie lub były „wiązane” w pliku backupu, atakujący mogą manipulować procesem uwierzytelniania.

Zalecenia dla użytkowników i organizacji

Jeśli w twojej organizacji używane są firewalle SonicWall i funkcja backupów w chmurze, poniżej znajdziesz listę kroków, które należy pilnie wdrożyć:

  1. Szybka weryfikacja stanu backupu
    • Wejdź do MySonicWall i sprawdź, które z twoich urządzeń mają włączone kopie zapasowe.
    • Sprawdź, czy numer seryjny twojego firewalla jest oznaczony jako zagrożony.
  2. Rotacja haseł i kluczy
    • Zmień hasła wszystkich lokalnych użytkowników i administratorów; usuń lub odłącz TOTP i wymuś ponowne zarejestrowanie.
    • Zaktualizuj i wygeneruj nowe klucze pre-shared do wszystkich VPN-ów (np. IPSec), zmień je we wszystkich punktach końcowych (peerach).
    • Zresetuj użytkowników/sekrety używane w LDAP, RADIUS, TACACS+, SNMP, a także wszelkie usługi zewnętrzne, które były powiązane z zaporą (np. usługi Dynamic DNS, integracje z chmurą).
  3. Ograniczenie powierzchni ataku
    • Wyłącz zarządzanie urządzeniem przez WAN (HTTP, HTTPS, SSH) tam, gdzie to możliwe.
    • Ogranicz dostęp do VPN-ów i usług zdalnych do zaufanych adresów IP.
    • Na czas wdrożenia nowych konfiguracji usuń lub ogranicz dostęp z Internetu do serwisów, które mogą być wektorem ataku.
  4. Import zmienionej konfiguracji
    • Skorzystaj z nowych plików preferencji udostępnionych przez SonicWall – mają one zanonimizowane lub zmienione krytyczne dane (hasła, klucze).
    • Importuj nowe pliki konfiguracji w czasie okna serwisowego (maintenance window), kiedy restart zapory będzie najmniej uciążliwy.
  5. Monitorowanie i audyt
    • Sprawdzaj logi systemowe i audytowe – szczególnie nieudane próby logowań, zmiany konfiguracji, próby dostępu spoza organizacji.
    • Upewnij się, iż mechanizmy MFA / TOTP są poprawnie skonfigurowane i nie zostały naruszone.
    • Przeprowadź audyt wszystkich urządzeń i usług współpracujących z zaporami – szczególnie VPN-ów, usług zarządzania, integracji z chmurą.

Podsumowanie

Atak na backupy konfiguracji w MySonicWall to przypomnienie, iż choćby „z czegoś, co jest kopią zapasową” mogą płynąć realne zagrożenia, jeżeli dane są odpowiednio wrażliwe – a konfiguracje zapór sieciowych do takich należą. Choć atakujący nie wykorzystywali luki typu zero-day w kodzie zapór (tj. nie było bezpośredniego błędu bezpieczeństwa w firmware), sama informacja o konfiguracji może dawać przewagę: wiedzę o tym, co jest włączone, jakie klucze stosowane, jakie punkty dostępu istnieją.

Kluczowe jest, by użytkownicy i administratorzy reagowali szybko: weryfikowali, które urządzenia są zagrożone, resetowali hasła dla kont, ograniczali dostęp, importowali nowe, bezpieczniejsze konfiguracje. Warto pamiętać, iż ochrona to nie tylko zabezpieczenie sprzętu, ale także kontrola nad danymi konfiguracyjnymi i tym, jak są przechowywane.

Idź do oryginalnego materiału
  1. Strona główna
  2. Serwisy SEC
  3. Backup czy luka? Jak atak na kopie zapasowe SonicWall otworzył drzwi cyberprzestępcom

Powiązane

Silver Fox rozszerza ataki Winos 4.0 na Japonię i Malezję. Nowy łańcuch z HoldingHands RAT i zwinne obejście EDR

Silver Fox rozszerza ataki Winos 4.0 na Japonię i Malezję. N...

5 godzin temu
Nowy backdoor .NET „CAPI” atakuje rosyjską motoryzację i e-commerce przez ZIP-y z LNK

Nowy backdoor .NET „CAPI” atakuje rosyjską motoryzację i e-c...

5 godzin temu
Google Ads podszywają się pod Homebrew i LogMeIn. Kampania malvertising atakuje deweloperów macOS infostealerami (AMOS, Odyssey)

Google Ads podszywają się pod Homebrew i LogMeIn. Kampania m...

5 godzin temu
Europol rozbija sieć „SIM farm”: 7 zatrzymanych, 1 200 urządzeń SIM-box i 49 mln fałszywych kont

Europol rozbija sieć „SIM farm”: 7 zatrzymanych, 1 200 urząd...

5 godzin temu
Korea Północna wykorzystuje „EtherHiding”: malware ukryty w smart kontraktach kradnie krypto i dane deweloperów

Korea Północna wykorzystuje „EtherHiding”: malware ukryty w ...

1 dzień temu
Kosmiczny pancerz działa. Pierwszy raz nie będziemy bezbronni poza Ziemią

Kosmiczny pancerz działa. Pierwszy raz nie będziemy bezbronn...

1 dzień temu
Polska oczyszczalnia zdobyta przez ruskich hakerów. Robili co chcieli

Polska oczyszczalnia zdobyta przez ruskich hakerów. Robili c...

1 dzień temu
SMS o zwrocie podatku zbiera żniwo wśród Polaków. Można stracić konto

SMS o zwrocie podatku zbiera żniwo wśród Polaków. Można stra...

1 dzień temu
Minął 14 października, wciąż masz Windows 10 i… śpisz spokojnie. Czy słusznie?

Minął 14 października, wciąż masz Windows 10 i… śpisz spokoj...

2 dni temu

Polecane

Bezpłatne warsztaty online: Praktyczny wymiar ochrony ludności w dobie zagrożeń hybrydowych, terrorystycznych i wojennych

Bezpłatne warsztaty online: Praktyczny wymiar ochrony ludnoś...

2 dni temu
Tragiczne zabójstwo irackiego chrześcijanina Ashura Sarnayi we Francji

Tragiczne zabójstwo irackiego chrześcijanina Ashura Sarnayi ...

5 dni temu
Praktyczny wymiar ochrony ludności w dobie zagrożeń hybrydowych, terrorystycznych i wojennych

Praktyczny wymiar ochrony ludności w dobie zagrożeń hybrydow...

5 dni temu
Czy trudno wywiesić biało-niebieską flagę?

Czy trudno wywiesić biało-niebieską flagę?

1 tydzień temu
Czy świat ma plan na Putina?

Czy świat ma plan na Putina?

1 tydzień temu
ABW POWSTRZYMAŁO ATAK TERRORYSTYCZNY Z UŻYCIEM DRONÓW I PUSZEK

ABW POWSTRZYMAŁO ATAK TERRORYSTYCZNY Z UŻYCIEM DRONÓW I PUSZ...

2 tygodni temu
Rosjanie planowali zamach terrorystyczny w Polsce. Chcieli użyć dronów i... puszek po kukurydzy!

Rosjanie planowali zamach terrorystyczny w Polsce. Chcieli u...

2 tygodni temu
Drony nad bazą wojskową w departamencie Marna na wschodzie Francji

Drony nad bazą wojskową w departamencie Marna na wschodzie F...

3 tygodni temu
ABW zatrzymała 19-latka. Planował atak terrorystyczny

ABW zatrzymała 19-latka. Planował atak terrorystyczny

3 tygodni temu