Sonicwall diz ter seus produtos hackeados através de vulnerabilidade ZeroDay. A fabricante de dispositivos de rede SonicWall disse na noite de sexta-feira, 22 de janeiro, que está investigando uma violação de segurança em sua rede interna após detectar o que descreveu como um “ataque coordenado“.
Em um curto comunicado postado em seu portal de base de conhecimento, a empresa disse que “agentes de ameaças altamente sofisticados” visavam seus sistemas internos “explorando prováveis vulnerabilidades de dia zero em certos produtos de acesso remoto seguro SonicWall“.
A empresa diz que “As equipes de engenharia da SonicWall continuam suas investigações sobre prováveis vulnerabilidades de dia zero com os produtos da série SMA 100.” . E complementa que “A SonicWall compreende totalmente a urgência de informações e orientações, que temos o compromisso de fornecer à medida que verificamos e confirmamos os detalhes”.
A empresa inicialmente listou os clientes VPN NetExtender e os gateways Secure Mobile Access (SMA ) como impactados, mas em uma atualização várias horas depois disse que apenas dispositivos parte de seus dispositivos da série SMA 100 ainda estão sob investigação como contendo uma vulnerabilidade de dia zero.
Série SMA 100: A série SMA 100 (SMA 200, SMA 210, SMA 400, SMA 410, SMA 500v) permanece sob investigação de uma vulnerabilidade. No entanto, podemos emitir a seguinte orientação sobre casos de uso de implantação:
A SonicWall dia que os clientes atuais da série SMA 100 podem continuar a usar o NetExtender com segurança para acesso remoto com a série SMA 100, pois determinaram que este caso de uso não é suscetível a exploração.
Patches para as vulnerabilidades de dia zero não estão disponíveis até o momento.
Para ajudar a manter as redes de seus próprios clientes seguras, o fornecedor incluiu uma série de atenuações em seu artigo da base de conhecimento, como implantar um firewall para limitar quem pode interagir com dispositivos SMA ou desativar o acesso por meio do cliente VPN NetExtender a seus firewalls.
A SonicWall também pediu às empresas que habilitem opções de autenticação de dois fatores em seus produtos para contas de administrador.
“Neste momento, é fundamental que as organizações com dispositivos ativos da série SMA 100 realizem a seguinte ação:
- Habilite a autenticação de duas facções (2FA) nos dispositivos da série SMA 100
- Consulte o seguinte artigo da base de conhecimento: https://www.sonicwall.com/support/knowledge-base/how-can-i-configure-time-based-one-time-password-totp-in-sma-100- série / 180818071301745 /
Além de implementar 2FA, os administradores da série SMA 100 também podem considerar o seguinte para proteger ainda mais o acesso a esses dispositivos:
-
- Ative a filtragem Geo-IP / botnet e crie uma política de bloqueio do tráfego da web de países que não precisam acessar seus aplicativos.
- Consulte a página 248 do Guia de Administração SMA 100 Series 10.2
- Habilite e configure o End Point Control (EPC) para verificar o dispositivo de um usuário antes de estabelecer uma conexão.
- Consulte a página 207 do Guia de Administração SMA 100 Series 10.
- Restrinja o acesso ao portal habilitando logins / logoffs programados
- Consulte a página 117 do Guia de Administração SMA 100 Series 10.2
- Ative a filtragem Geo-IP / botnet e crie uma política de bloqueio do tráfego da web de países que não precisam acessar seus aplicativos.
Todas as três empresas anteriores foram violadas durante o ataque à cadeia de suprimentos da SolarWinds. CrowdStrike disse que também foi alvo do hack SolarWinds, mas o ataque não teve sucesso.
A Cisco, outro grande fornecedor de dispositivos de rede e segurança, também foi alvo dos hackers da SolarWinds. A empresa disse no mês passado que estava investigando se os invasores escalaram seu acesso inicial dos produtos SolarWinds para outras partes de sua rede.
Várias fontes na comunidade da inteligência de ameaças disseram à ZDNet após a publicação deste artigo que o SonicWall pode ter sido vítima de um ataque de ransomware.
Consulte o PSIRT Advisory SNWLID-2021-0001 emitido pela SonicWall para obter atualizações. A SonicWall diz que na medida que continuarem a investigar o incidente, fornecerão mais atualizações sobre mitigação ou possíveis patches.
Fonte: ZDNet & SonicWall
Veja também:
- NSA alerta para eliminar versões obsoletas do TLS – Transport Layer Security
- Webinars: Semana da Privacidade
- Sua senha do Office 365 pode estar exposta online
- Cibersegurança: seis principais tendências para 2021
- Fortinet e WOMCY assinam acordo estratégico para aumentar a oferta de treinamento em cibersegurança para mulheres
- MindSec agora é Representante Oficial Sophos!
- Dados pessoais de +200 Milhões de usuários Facebook, Instagram e LinkedIn expostos online
- 2021 chega com os desafios de adequação do setor de Saúde à LGPD
- 5 tendências modernas de operações de SOC que irão dominar 2021 e além
- Citrix atualiza produtos ADC para ajudar a bloquear ataques DDoS
- Guias Operacionais para adequação à LGPD – Governo Federal
Deixe sua opinião!