概要と調査結果
ソニックウォールは、9月に発生したセキュリティ侵害に関する調査を完了し、国家支援型ハッカーが攻撃の背後にいたことを発表しました。マンディアントによる調査の結果、悪意のある活動は、APIコールを利用した特定のクラウド環境からのクラウドバックアップファイルへの不正アクセスに限定されていたことが確認されました。
同社は、このインシデントがソニックウォールの製品、ファームウェア、システム、ツール、ソースコード、または顧客ネットワークに影響を与えなかったことを強調しています。
侵害の詳細と影響
この侵害により、MySonicWallアカウントに保存されていたファイアウォール設定のバックアップファイルが露呈しました。攻撃者はこれらのファイルから、アクセス認証情報やトークンなどの機密情報を抽出する可能性があり、これにより顧客のファイアウォールを悪用することが「著しく容易になる」恐れがありました。
顧客への対応と推奨事項
ソニックウォールは、インシデント発生後直ちに顧客に対し、以下の認証情報のリセットを推奨しました。
- MySonicWallアカウントの認証情報
- 一時アクセスコード
- LDAP、RADIUS、TACACS+サーバーのパスワード
- L2TP/PPPoE/PPTP WANインターフェースのパスワード
- IPSecサイト間およびGroupVPNポリシーの共有シークレット
10月9日の更新では、同社のクラウドバックアップサービスを利用していたすべての顧客が影響を受けたことが明らかにされました。
その他の関連情報
ソニックウォールは、今回の国家支援型活動が、9月下旬にMFA保護されたSonicWall VPNアカウントを標的としたAkiraランサムウェアグループの攻撃とは無関係であると断言しています。また、10月13日にはHuntressがSonicWall SSLVPNアカウントを標的とした悪意のある活動の増加を報告し、有効な認証情報を使用して100以上のアカウントが侵害されたとしましたが、これは9月のファイアウォール設定ファイル露呈とは関連がないとされています。