Sonicwall diz ter seus produtos hackeados através de vulnerabilidade ZeroDay. A fabricante de dispositivos de rede SonicWall disse na noite de sexta-feira, 22 de janeiro, que está investigando uma violação de segurança em sua rede interna após detectar o que descreveu como um “ataque coordenado“.
Em um curto comunicado postado em seu portal de base de conhecimento, a empresa disse que “agentes de ameaças altamente sofisticados” visavam seus sistemas internos “explorando prováveis vulnerabilidades de dia zero em certos produtos de acesso remoto seguro SonicWall“.
A empresa diz que “As equipes de engenharia da SonicWall continuam suas investigações sobre prováveis vulnerabilidades de dia zero com os produtos da série SMA 100.” . E complementa que “A SonicWall compreende totalmente a urgência de informações e orientações, que temos o compromisso de fornecer à medida que verificamos e confirmamos os detalhes”.
A empresa inicialmente listou os clientes VPN NetExtender e os gateways Secure Mobile Access (SMA ) como impactados, mas em uma atualização várias horas depois disse que apenas dispositivos parte de seus dispositivos da série SMA 100 ainda estão sob investigação como contendo uma vulnerabilidade de dia zero.
Série SMA 100: A série SMA 100 (SMA 200, SMA 210, SMA 400, SMA 410, SMA 500v) permanece sob investigação de uma vulnerabilidade. No entanto, podemos emitir a seguinte orientação sobre casos de uso de implantação:
A SonicWall dia que os clientes atuais da série SMA 100 podem continuar a usar o NetExtender com segurança para acesso remoto com a série SMA 100, pois determinaram que este caso de uso não é suscetível a exploração.
Patches para as vulnerabilidades de dia zero não estão disponíveis até o momento.
Para ajudar a manter as redes de seus próprios clientes seguras, o fornecedor incluiu uma série de atenuações em seu artigo da base de conhecimento, como implantar um firewall para limitar quem pode interagir com dispositivos SMA ou desativar o acesso por meio do cliente VPN NetExtender a seus firewalls.
A SonicWall também pediu às empresas que habilitem opções de autenticação de dois fatores em seus produtos para contas de administrador.
“Neste momento, é fundamental que as organizações com dispositivos ativos da série SMA 100 realizem a seguinte ação:
- Habilite a autenticação de duas facções (2FA) nos dispositivos da série SMA 100
- Consulte o seguinte artigo da base de conhecimento: https://www.sonicwall.com/support/knowledge-base/how-can-i-configure-time-based-one-time-password-totp-in-sma-100- série / 180818071301745 /
Além de implementar 2FA, os administradores da série SMA 100 também podem considerar o seguinte para proteger ainda mais o acesso a esses dispositivos:
- Ative a filtragem Geo-IP / botnet e crie uma política de bloqueio do tráfego da web de países que não precisam acessar seus aplicativos.
- Consulte a página 248 do Guia de Administração SMA 100 Series 10.2
- Habilite e configure o End Point Control (EPC) para verificar o dispositivo de um usuário antes de estabelecer uma conexão.
- Consulte a página 207 do Guia de Administração SMA 100 Series 10.
- Restrinja o acesso ao portal habilitando logins / logoffs programados
- Consulte a página 117 do Guia de Administração SMA 100 Series 10.2
O fabricante de dispositivos de rede, cujos produtos são frequentemente usados para proteger o acesso a redes corporativas, agora se torna o quarto fornecedor de segurança a divulgar uma violação de segurança nos últimos dois meses após FireEye , Microsoft e Malwarebytes .
Todas as três empresas anteriores foram violadas durante o ataque à cadeia de suprimentos da SolarWinds. CrowdStrike disse que também foi alvo do hack SolarWinds, mas o ataque não teve sucesso.
A Cisco, outro grande fornecedor de dispositivos de rede e segurança, também foi alvo dos hackers da SolarWinds. A empresa disse no mês passado que estava investigando se os invasores escalaram seu acesso inicial dos produtos SolarWinds para outras partes de sua rede.
Várias fontes na comunidade da inteligência de ameaças disseram à ZDNet após a publicação deste artigo que o SonicWall pode ter sido vítima de um ataque de ransomware.
Consulte o PSIRT Advisory SNWLID-2021-0001 emitido pela SonicWall para obter atualizações. A SonicWall diz que na medida que continuarem a investigar o incidente, fornecerão mais atualizações sobre mitigação ou possíveis patches.
FONTE: MINUTO DA SEGURANÇA