(https://i.imgur.com/BTs7eMv.jpeg)
SonicWall ha pedido a sus clientes que restablezcan de inmediato sus credenciales después de detectar actividad sospechosa que dejó expuestos archivos de copia de seguridad de configuración de algunos firewalls almacenados en su servicio en la nube MySonicWall. La compañía informó que la intrusión afectó a menos del 5% de sus clientes y que, aunque las contraseñas dentro de los archivos estaban cifradas, los archivos contenían información que podría facilitar ataques posteriores contra los dispositivos comprometidos.
¿Qué sucedió y cuál es el alcance del incidente?Según el comunicado oficial de SonicWall, su equipo de seguridad detectó una serie de ataques de fuerza bruta dirigidos al servicio de respaldo en la nube para firewalls, que permitieron a actores desconocidos acceder a archivos de preferencias de firewall almacenados en copias de seguridad. SonicWall afirma que cortó el acceso de los atacantes y está colaborando con agencias de seguridad y fuerzas del orden para investigar el incidente.
Aunque la compañía no ha confirmado que los archivos hayan sido publicados en línea por los atacantes, sí advirtió que estos archivos podrían contener metadatos o configuraciones que faciliten un acceso posterior o la explotación de componentes del firewall, por lo que la rotación de credenciales y la verificación de configuración son medidas críticas.
Recomendaciones urgentes de SonicWall para clientesSonicWall ha establecido un conjunto de pasos de contención y corrección que todos los clientes deben seguir de forma prioritaria:
- Iniciar sesión en MySonicWall.com y comprobar si la copia de seguridad en la nube está habilitada para sus dispositivos.
- Verificar si los números de serie asociados a sus firewalls han sido marcados como afectados en sus cuentas.
- Proceder con acciones de contención: limitar acceso desde WAN, deshabilitar acceso de administración HTTP/HTTPS/SSH expuesto, desactivar temporalmente SSL VPN e IPSec VPN si es necesario, y restablecer contraseñas y TOTP almacenados en el propio firewall. Además, se recomienda revisar logs y cambios recientes en la configuración en busca de actividad anómala.
SonicWall también ha proporcionado un archivo de preferencias modificado para clientes afectados, que incluye contraseñas aleatorias para usuarios locales, restablecimiento de enlaces TOTP y nuevas claves VPN IPSec. La empresa advierte que este archivo se genera a partir del último archivo encontrado en el almacenamiento en la nube y solo debe importarse si representa la configuración deseada; de lo contrario, no debe usarse.
Riesgo operacional y relación con exploits previosAunque este incidente no fue un ransomware que atacara la red interna de SonicWall, existe una preocupación razonable: los firewalls son un vector de alto valor para los atacantes porque, si se comprometen, pueden permitir movimientos laterales y acceso a activos críticos. En este contexto, la compañía subrayó que los actores maliciosos podrían usar la información de configuración para obtener acceso posterior.
Además, se produce en un momento de alta actividad del grupo de ransomware Akira, cuyos afiliados han explotado vulnerabilidades en appliances VPN y firewalls SonicWall —concretamente CVE-2024-40766— para obtener acceso inicial a redes objetivo y, en algunos casos, eludir controles como MFA. Alertas y reportes de la industria (Huntress, Rapid7, agencias nacionales) han vinculado explotaciones de VPN SonicWall a operaciones de ransomware recientes, lo que eleva la urgencia de aplicar contención y parches.
Buenas prácticas y pasos recomendados (resumen accionable)Para reducir riesgo y recuperar confianza operativa, las organizaciones afectadas o con dispositivos SonicWall deben:
- Restablecer inmediatamente contraseñas locales y administrativas, y rotar claves y secretos.
- Restablecer TOTP y cualquier token almacenado que pudiera haber figurado en las copias de seguridad.
- Deshabilitar temporalmente accesos remotos innecesarios desde Internet (SSH/HTTP/HTTPS/SSL VPN/ IPSec) y aplicar listas de permitidos por IP.
- Importar el archivo de preferencias modificado provisto por SonicWall solo si se confirma que representa la configuración deseada; planificar la importación fuera de horarios críticos y realizar copia de seguridad previa local.
- Monitorear logs y levantar alertas en SIEM/EDR por actividad inusual, y revisar integridad de agentes EDR y sistemas de detección.
En fin...La exposición de archivos de copia de seguridad en MySonicWall, aunque limitada en alcance (menos del 5% de clientes), subraya la necesidad de operar bajo un modelo de "confianza mínima": asumir que cualquier credencial o configuración puede verse comprometida y actuar en consecuencia rotando claves, reforzando controles de acceso y auditando cambios. SonicWall ya ha proporcionado orientación técnica y herramientas de remediación, pero la responsabilidad final recae en cada organización para ejecutar las medidas de contención y restablecimiento recomendadas por el proveedor.
Fuente: https://thehackernews.com/