A SonicWall, conhecida empresa de cibersegurança, emitiu um alerta crítico aos seus clientes, instando-os a repor as suas credenciais após uma falha de segurança ter exposto ficheiros de backup de configuração de firewalls. O incidente afetou as configurações armazenadas em contas MySonicWall.
Após detetar a intrusão, a empresa garante ter cortado o acesso dos atacantes aos seus sistemas e está a colaborar com as autoridades e especialistas em cibersegurança para investigar o impacto total do ataque.
Riscos elevados para as redes empresariais
O perigo desta exposição é significativo. Segundo a própria empresa, "o acesso aos ficheiros de configuração de firewall expostos contém informação que pode tornar a exploração de firewalls consideravelmente mais fácil para os atacantes".
Estes backups podem conter um manancial de dados sensíveis, incluindo credenciais de utilizadores, chaves de API, tokens de autenticação e segredos partilhados para todos os serviços que operam nos dispositivos SonicWall de uma rede. Na prática, os atacantes podem ter obtido um mapa detalhado que lhes permite contornar as defesas de uma rede empresarial.
SonicWall publica guia com medidas urgentes
Para mitigar os riscos, a SonicWall publicou um guia detalhado com as ações que os administradores de sistemas devem tomar imediatamente. A primeira recomendação é desativar ou restringir o acesso a serviços no dispositivo a partir da WAN antes de iniciar a reposição das credenciais.
A empresa disponibilizou uma lista de verificação com todos os passos necessários para garantir que todas as palavras-passe, chaves e segredos relevantes são atualizados de forma consistente. A SonicWall adverte que as credenciais configuradas no sistema operativo SonicOS podem também necessitar de ser atualizadas noutros serviços, como fornecedores de internet (ISP), VPNs, servidores LDAP/RADIUS, entre outros.
Um contexto recente de vulnerabilidades
Este incidente surge pouco tempo depois de a SonicWall ter estado no centro das atenções devido a ataques do grupo de ransomware Akira. Inicialmente, suspeitava-se de uma falha “zero-day”, mas a empresa esclareceu que os ataques estavam a explorar a vulnerabilidade CVE-2024-40766, uma falha crítica corrigida em novembro de 2024. A teoria da empresa foi posteriormente confirmada pelo Centro de Cibersegurança Australiano (ACSC) e pela empresa Rapid7.
Nenhum comentário
Seja o primeiro!