Tin tặc truy cập vào bản sao lưu tường lửa SonicWall, yêu cầu kiểm tra bảo mật

[Starlink]

Hôm thứ Tư, SonicWall tiết lộ rằng một bên không được phép đã truy cập vào các tệp sao lưu cấu hình tường lửa của tất cả khách hàng đã sử dụng dịch vụ sao lưu đám mây.

Công ty cho biết: "Các tệp này chứa thông tin xác thực và dữ liệu cấu hình được mã hóa; trong khi mã hóa vẫn được áp dụng, việc sở hữu các tệp này có thể làm tăng nguy cơ bị tấn công có chủ đích".

Công ty cũng lưu ý rằng họ đang nỗ lực thông báo cho tất cả các đối tác và khách hàng, đồng thời cho biết đã phát hành các công cụ hỗ trợ đánh giá và khắc phục sự cố thiết bị. Công ty cũng khuyến khích người dùng đăng nhập và kiểm tra thiết bị của mình.

Sự phát triển này diễn ra vài tuần sau khi SonicWall khuyến cáo khách hàng thực hiện đặt lại thông tin đăng nhập sau khi các tệp sao lưu cấu hình tường lửa của họ bị lộ trong một vụ vi phạm bảo mật ảnh hưởng đến tài khoản MySonicWall.

Danh sách các thiết bị bị ảnh hưởng có sẵn trên cổng thông tin MySonicWall đã được phân loại theo mức độ ưu tiên để giúp khách hàng ưu tiên các nỗ lực khắc phục. Các nhãn như sau:

    Hoạt động – Ưu tiên cao: Thiết bị có dịch vụ kết nối internet được bật
    Hoạt động – Mức độ ưu tiên thấp hơn: Thiết bị không có dịch vụ kết nối internet
    Không hoạt động: Các thiết bị không gửi tín hiệu về nhà trong 90 ngày

Bản báo cáo hậu kiểm mới nhất đánh dấu một bước ngoặt so với đánh giá ban đầu khi công ty tuyên bố rằng các tác nhân đe dọa đã truy cập vào các tệp tùy chọn tường lửa sao lưu được lưu trữ trên đám mây của chưa đến 5% khách hàng. Báo cáo cũng cho biết mặc dù thông tin đăng nhập trong các tệp đó đã được mã hóa, nhưng chúng cũng bao gồm "thông tin có thể giúp kẻ tấn công dễ dàng khai thác tường lửa liên quan hơn".

Hiện tại vẫn chưa rõ có bao nhiêu khách hàng sử dụng dịch vụ sao lưu đám mây của SonicWall. SonicWall vẫn chưa tiết lộ thời điểm các cuộc tấn công bắt đầu hoặc ai đứng sau hoạt động này. Tuy nhiên, công ty cho biết kể từ đó, họ đã "củng cố" cơ sở hạ tầng, áp dụng thêm chế độ ghi nhật ký và triển khai các biện pháp kiểm soát xác thực mạnh mẽ hơn để ngăn chặn sự việc tái diễn.

Người dùng được khuyên nên làm theo các bước dưới đây ngay lập tức -

    Đăng nhập vào tài khoản   Đăng nhập để xem liên kết và xác minh xem có bản sao lưu đám mây nào cho tường lửa đã đăng ký không
    Nếu các trường trống, sẽ không có tác động
    Nếu các trường chứa thông tin chi tiết về bản sao lưu, hãy xác minh xem số sê-ri bị ảnh hưởng có được liệt kê trong tài khoản hay không
    Nếu Số sê-ri được hiển thị, người dùng nên tuân theo các hướng dẫn ngăn chặn và khắc phục cho các tường lửa được liệt kê

SonicWall cho biết trong trường hợp khách hàng đã sử dụng tính năng Cloud Backup nhưng không hiển thị Số sê-ri hoặc chỉ hiển thị một số Số sê-ri đã đăng ký, công ty sẽ cung cấp hướng dẫn bổ sung trong những ngày tới.