SonicWall、クラウドバックアップのセキュリティ侵害を確認

SonicWallは、大手インシデント対応企業Mandiantとの徹底的な調査の結果、最近発生したクラウドバックアップのセキュリティインシデントに関するレビューを完了しました。この調査により、MySonicWallクラウドバックアップ機能を利用している全顧客のファイアウォール設定バックアップファイルに、未知の第三者がアクセスしたことが確認されました。

漏洩したデータの詳細と潜在的リスク

漏洩したファイルには、エンコードされた設定情報と暗号化された認証情報が含まれています。認証情報自体はAES-256暗号化によって保護されていますが、脅威アクターがこれらのファイルを保有していることで、影響を受けたネットワークに対する高度に標的型攻撃を仕掛ける手助けとなる可能性があります。

影響を受けた顧客への対応と推奨される対策

SonicWallは、MySonicWallポータル内で影響を受けたデバイスの最終的な包括的リストを更新しました。顧客は「Product Management > Issue List」からこれらのリストを確認できます。各デバイスのエントリには、影響の優先度分類が示されています。

• Active – High Priority: インターネットに接続されているユニット
• Active – Lower Priority: インターネットに接続されていないユニット
• Inactive: 90日以上チェックインしていないデバイス

SonicWallは、影響を受けたすべてのパートナーと顧客に積極的に通知し、露出したデバイスの評価と修復を支援するツールを提供しています。すべてのSonicWallパートナーおよび顧客は、直ちにMySonicWall.comアカウントにログインし、登録されているファイアウォールにクラウドバックアップが存在するかどうかを確認するよう強く求められています。バックアップフィールドが空白の場合、デバイスはリスクにさらされていないと確信できます。バックアップの詳細が存在する場合、顧客は以下の手順を実行する必要があります。

• デバイス名、最終ダウンロード日、影響を受けたサービスを含む、フラグが立てられたシリアル番号についてIssue Listを確認する。
• Active – High Priorityデバイスから優先的に修復を開始し、次にActive – Lower Priorityデバイスを修復する。
• バックアップ時点またはそれ以前に有効になっていたすべてのサービスについて、認証情報を確認し、リセットする。

顧客は、封じ込めと修復の手順についてSonicWallの「Essential Credential Reset guide」を参照するよう指示されています。詳細な「Remediation Playbook」も復旧手順を案内するために利用可能です。SonicWallの「Online Tool for Firewall Config Analysis」は、認証情報のリセットが必要な特定のサービスを特定できます。

バックアップファイルの特性とSonicWallのセキュリティ強化

設定バックアップファイルは.EXP拡張子を使用し、ファイアウォールの設定の完全なスナップショットを含んでいます。ローカルにエクスポートされたEXPファイルはエンコードされているだけで、最新のSonicWallモデルでは認証情報が暗号化されています。クラウドバックアップファイルは、保存前に追加のフルファイル暗号化と圧縮の層を受けます。ユーザーがMySonicWallからクラウドバックアップをダウンロードすると、システムはファイルを復号化し、認証情報の暗号化を維持したまま、エンコードされた状態でHTTPS経由で送信します。

防御を強化するため、SonicWallはクラウドインフラストラクチャと監視システム全体で追加のセキュリティ強化策を実施しました。同社はMandiantと協力し続け、検出制御を強化し、将来の不正アクセスを防止しています。質問がある顧客や支援が必要な顧客は、MySonicWallポータル経由でサポートケースを開く必要があります。

---

元記事: https://gbhackers.com/sonicwall-confirms-breach-exposing-all-customer-firewall/