SonicWall VPN-accounts gecompromitteerd met gestolen inloggegevens

In dit artikel:

Beveiligingsonderzoekers van Huntress waarschuwen voor een grootschalige inlogcampagne waarbij aanvallers meer dan honderd SonicWall SSLVPN-accounts overnamen met gestolen, geldige inloggegevens. De activiteiten werden sinds 4 oktober in zestien bedrijfsomgevingen vastgesteld. Aanvallers logden binnen enkele seconden op meerdere apparaten tegelijk in, wat erop wijst dat zij echte gebruikersnamen en wachtwoorden gebruiken in plaats van brute-force-methoden. Na toegang voerden ze netwerkverkenning uit en probeerden ze lokale Windows-accounts te benaderen; veel verbindingen kwamen vanaf IP-adres 202.155.8[.]73.

De incidenten volgen op het MySonicWall Cloud Backup File Incident van 17 september, toen configuratieback-ups van firewalls onbedoeld publiek toegankelijk bleken. Huntress vindt echter nog geen direct bewijs dat beide gebeurtenissen met elkaar verband houden. SonicWall stelt dat configuratiebestanden Base64-gecodeerd zijn en dat gevoelige data apart met AES-256 versleuteld worden. Tegelijk melden systeembeheerders dat apparaten automatisch cloudback-ups hebben aangemaakt zonder handmatige configuratie, wat de speculatie voedt dat firewalls op afstand werden aangestuurd; SonicWall gaf hiervoor geen nadere toelichting.

Zowel Huntress als SonicWall adviseren directe tegenmaatregelen: alle wachtwoorden en authenticatiesleutels vervangen, multifactor-authenticatie vernieuwen, externe toegang tijdelijk uitschakelen en specifiek LDAP-, RADIUS- en VPN-wachtwoorden resetten en WAN-interfaces herinitialiseren. De zaak onderstreept hoe kwetsbaar centrale beheersystemen en cloudfuncties zijn wanneer inloggegevens uitlekken; organisaties met SonicWall-apparatuur wordt geadviseerd hun configuraties grondig te controleren en verdachte activiteit nauwlettend te monitoren.