Beveiligingsonderzoekers waarschuwen voor een grootschalige campagne. Aanvallers namen meer dan honderd SonicWall SSLVPN-accounts over. Dit gebeurde met gestolen, geldige inloggegevens. De aanvallen, die sinds 4 oktober plaatsvinden, zijn waargenomen door het beveiligingsbedrijf Huntress in zestien bedrijfsomgevingen.
Volgens Huntress loggen de aanvallers binnen enkele seconden op meerdere apparaten tegelijk in. Dit wijst erop dat zij over echte gebruikersnamen en wachtwoorden beschikken in plaats van brute-force-aanvallen uit te voeren. Na het verkrijgen van toegang werden netwerkverkenningen uitgevoerd en pogingen gedaan om lokale Windows-accounts te benaderen. De meeste verbindingen kwamen van het IP-adres 202.155.8[.]73.
Nog geen relatie gevonden met eerder datalek
De incidenten volgen kort na het MySonicWall Cloud Backup File Incident van 17 september, waarbij configuratieback-ups van firewalls onbedoeld publiek toegankelijk bleken. Hoewel de timing van beide gebeurtenissen vragen oproept, benadrukt Huntress dat er geen direct bewijs is dat de nieuwe aanvallen samenhangen met dit eerdere datalek. SonicWall verklaart dat de configuratiebestanden Base64-gecodeerd zijn en dat gevoelige gegevens afzonderlijk worden versleuteld met AES-256, waardoor ze niet eenvoudig leesbaar zijn.
Ondertussen melden diverse systeembeheerders dat hun apparaten automatisch cloudback-ups hebben aangemaakt zonder dat deze handmatig waren geconfigureerd. Dit voedt de speculatie dat sommige firewalls op afstand zijn aangestuurd om back-ups te maken. SonicWall heeft daar nog geen nadere toelichting op gegeven en reageerde ook niet direct op vragen over de nieuwe aanvalsgolf.
Zowel SonicWall als Huntress adviseren klanten om onmiddellijk maatregelen te nemen. Beheerders dienen alle wachtwoorden en authenticatiesleutels te vervangen, multifactor-authenticatie te vernieuwen en externe toegang tijdelijk uit te schakelen. SonicWall publiceerde daarnaast een checklist waarin onder meer wordt geadviseerd om LDAP-, RADIUS- en VPN-wachtwoorden te resetten en WAN-interfaces opnieuw te initialiseren.
De aanvallen tonen hoe kwetsbaar centrale beheersystemen en cloudfuncties kunnen zijn wanneer inloggegevens op straat belanden. Bedrijven die SonicWall-apparatuur gebruiken, wordt geadviseerd hun configuraties grondig te controleren en waakzaam te blijven voor verdachte activiteiten.