SonicWall ha confirmado que todos los clientes que utilizaron su servicio de copias de seguridad en la nube se vieron afectados por una brecha de seguridad ocurrida el mes pasado, ampliando el alcance del incidente previamente reportado.
¿Qué ocurrió exactamente?
Inicialmente, la empresa había informado que el ataque expuso archivos de respaldo de configuraciones de firewall almacenados en algunas cuentas de MySonicWall, sin proporcionar muchos más detalles.
MySonicWall es el portal en línea que permite a los clientes gestionar licencias, registros de productos, actualizaciones de firmware, casos de soporte y respaldos en la nube de configuraciones de firewall (archivos .EXP).
El 17 de septiembre, SonicWall instó a sus usuarios a restablecer las credenciales de sus cuentas, anticipando que actores no autorizados podrían haber accedido a los archivos de configuración a través de esta brecha.
Acciones recomendadas: restablecimiento completo de credenciales
La empresa publicó una lista de acciones críticas que los administradores deben seguir para mitigar los riesgos. Estas incluyen:
-
Restablecer y actualizar contraseñas de todos los usuarios locales.
-
Regenerar los códigos temporales de acceso (TOTP).
-
Cambiar contraseñas en servidores LDAP, RADIUS o TACACS+.
-
Actualizar claves compartidas en políticas IPSec (site-to-site y GroupVPN).
-
Cambiar contraseñas de interfaces WAN L2TP/PPPoE/PPTP.
-
Regenerar la clave API de Cloud Secure Edge (CSE).
Además, se sugieren acciones menos críticas, como actualizar claves de AWS para logging e integración VPN, restablecer credenciales SNMPv3 y contraseñas de conexiones WWAN.
“El acceso a las configuraciones expuestas puede facilitar significativamente la explotación de firewalls por parte de actores maliciosos”, advirtió SonicWall en su comunicado, donde también se ofrece una guía detallada de mitigación.
Todos los usuarios del respaldo en la nube, afectados
En una actualización publicada el 9 de octubre, SonicWall confirmó que su investigación —realizada junto a la firma de respuesta a incidentes Mandiant— concluyó que:
“Un actor no autorizado accedió a los archivos de respaldo de configuración de firewall de todos los clientes que utilizaron el servicio de copias de seguridad en la nube”.
Los archivos comprometidos contienen credenciales y datos de configuración cifrados con AES-256, un estándar de cifrado fuerte, pero que no garantiza seguridad total si las claves también fueron comprometidas.
¿Cómo saber si tu dispositivo está afectado?
Los usuarios pueden iniciar sesión en MySonicWall y navegar a Product Management → Issue List. Si hay elementos pendientes, deben seguir inmediatamente los pasos de restablecimiento de credenciales, dando prioridad a firewalls activos expuestos a internet.
Recomendación final
Aunque SonicWall ha declarado que la investigación ha concluido, es altamente recomendable que los administradores de sistemas sigan monitoreando alertas en MySonicWall y actualizaciones periódicas de dispositivos afectados. Una vigilancia continua es clave para minimizar el impacto de esta filtración.
0 Comentarios