SonicWall แจ้งเตือนลูกค้าให้ reset credential หลังระบบ MySonicWall ถูกเจาะ

SonicWall แจ้งเตือนลูกค้าให้ reset credential ทั้งหมดหลังพบว่าไฟล์ backup configuration ของ firewall ถูกเข้าถึงผ่านการโจมตีบัญชี MySonicWall โดยผู้โจมตีใช้วิธี brute-force attack เพื่อเข้าถึงข้อมูล

SonicWall ได้ออกประกาศเตือนลูกค้าในวันพุธที่ผ่านมาหลังตรวจพบเหตุการณ์ความปลอดภัยที่ทำให้ไฟล์ backup configuration ของ firewall ในบัญชี MySonicWall บางส่วนถูกเข้าถึงโดยผู้ไม่หวังดี บริษัทได้ตัดการเข้าถึงของผู้โจมตีและกำลังทำงานร่วมกับหน่วยงานความปลอดภัยไซเบอร์และหน่วยงานบังคับใช้กฎหมายเพื่อสืบสวนผลกระทบ โดยโฆษกของ SonicWall ระบุว่าเหตุการณ์นี้ส่งผลกระทบต่อ firewall น้อยกว่า 5% ของฐานติดตั้งทั้งหมด และเป็นการโจมตีแบบ brute-force ที่มุ่งเป้าไปที่ API service สำหรับ cloud backup ไม่ใช่เหตุการณ์ ransomware

ไฟล์ configuration ที่ถูกเข้าถึงมีข้อมูลสำคัญที่อาจทำให้ผู้โจมตีสามารถเจาะระบบ firewall ได้ง่ายขึ้น รวมถึง credential และ token ของบริการต่างๆ ที่รันบนอุปกรณ์ SonicWall บนเครือข่าย แม้ว่า password ในไฟล์จะถูกเข้ารหัส แต่ยังมีข้อมูลอื่นที่อาจช่วยให้ผู้โจมตีสามารถใช้ประโยชน์ในการเจาะ firewall ได้ บริษัทได้เผยแพร่คู่มือแนะนำโดยละเอียดเพื่อช่วยให้ผู้ดูแลระบบลดความเสี่ยงจากการถูกโจมตี พร้อมแนะนำให้ปิดหรือจำกัดการเข้าถึงบริการต่างๆ บนอุปกรณ์จาก WAN ก่อนทำการ reset credential

SonicWall ได้จัดทำ Essential Credential Reset checklist ที่แสดงรายการบริการทั้งหมดที่ต้อง reset รวมถึง password, API key และ authentication token ของผู้ใช้งาน, บัญชี VPN และบริการต่างๆ โดยเน้นว่า credential ที่ตั้งค่าใน SonicOS อาจต้องอัปเดตในที่อื่นด้วย เช่น ISP, Dynamic DNS provider, email provider, remote IPSec VPN peer หรือ LDAP/RADIUS server เหตุการณ์นี้เกิดขึ้นหลังจากเมื่อสัปดาห์ที่แล้ว Australian Cyber Security Center และ Rapid7 ยืนยันว่ากลุ่ม Akira ransomware กำลังใช้ช่องโหว่ CVE-2024-40766 ซึ่งเป็นช่องโหว่ Critical ใน SSLVPN ของ SonicOS เพื่อโจมตีอุปกรณ์ที่ยังไม่ได้ patch

ที่มา: https://www.bleepingcomputer.com/news/security/sonicwall-warns-customers-to-reset-credentials-after-MySonicWall-breach/