Investigadores de segurança alertam para uma campanha de ciberataques em larga escala que já comprometeu mais de uma centena de contas SSL-VPN da SonicWall. Os atacantes estão a utilizar credenciais válidas, previamente roubadas, para ganhar acesso às redes das vítimas, descartando a hipótese de um ataque de força bruta.
A plataforma de cibersegurança gerida Huntress foi quem detetou a atividade, que parece ter começado por volta do dia 4 de outubro. Segundo os seus especialistas, os atacantes estão a autenticar-se rapidamente em múltiplas contas através de vários dispositivos comprometidos. "A velocidade e a escala destes ataques implicam que os atacantes parecem controlar credenciais válidas", afirmaram os investigadores.
Até ao dia 10 de outubro, a campanha maliciosa já tinha impactado mais de 100 contas SSL-VPN da SonicWall em 16 ambientes distintos protegidos pela Huntress, o que indica uma operação significativa e generalizada que se mantém ativa.
O que fazem os atacantes após o acesso
Uma vez dentro da rede, a atividade observada pela Huntress focou-se em táticas de reconhecimento e movimento lateral. Os agentes maliciosos foram vistos a tentar aceder a um grande número de contas locais do Windows, procurando expandir o seu controlo dentro do sistema comprometido.
É importante sublinhar que a Huntress não encontrou, até ao momento, qualquer evidência que ligue esta vaga de ataques à recente falha da SonicWall, que expôs ficheiros de configuração de backups na nuvem dos seus clientes. A empresa de segurança de rede explicou na altura que, embora esses ficheiros pudessem ser descodificados, as credenciais e segredos contidos nos mesmos estavam individualmente encriptados com o algoritmo AES-256, tornando-os ilegíveis.
Como proteger os seus sistemas
Perante esta ameaça, a SonicWall recomenda um conjunto de medidas de proteção que os administradores de sistemas devem implementar:
Redefinir e atualizar todas as palavras-passe de utilizadores locais e códigos de acesso temporários.
Atualizar as palavras-passe em servidores LDAP, RADIUS ou TACACS+.
Atualizar os segredos em todas as políticas IPSec site-to-site e GroupVPN.
Atualizar as palavras-passe das interfaces WAN L2TP/PPPoE/PPTP.
Redefinir as interfaces WAN L2TP/PPPoE/PPTP.
A Huntress sugere ainda medidas adicionais mais rigorosas, como restringir imediatamente a gestão da WAN e o acesso remoto sempre que não for necessário. Aconselha também a desativar ou limitar o acesso por HTTP, HTTPS, SSH e SSL VPN até que todos os segredos sejam alterados. Chaves de API externas, credenciais de DNS dinâmico e SMTP/FTP também devem ser revogadas. Por fim, é crucial proteger todas as contas de administrador e de acesso remoto com autenticação multifator.
Nenhum comentário
Seja o primeiro!