A mitjans de setembre, l’empresa va informar d’un incident de seguretat al servei de còpies de seguretat al núvol, que ha afectat tots els clients segons s’ha pogut saber ara.

SonicWall va informar el 17 de setembre passat que uns ciberdelinqüents havien robat arxius de còpia de seguretat configurats per a còpies de seguretat al núvol. En aquell moment, l’empresa va informar que l’incident es limitava a «menys del cinc per cent» dels clients. Ara, ha admès que «tots els clients» que feien servir la funció de còpia de seguretat al núvol MySonicWall es van veure afectats.

Conseqüències de l’atac

Segons l’empresa, els fitxers robats contenen credencials xifrades i dades de configuració. Tal com ha advertit en un comunicat, «tot i que el xifratge continua vigent, la possessió d’aquests arxius podria augmentar el risc d’atacs selectius.»

L’especialista en seguretat Arctic Wolf també ha advertit de les conseqüències de l’incident. Segons el seu investigador d’intel·ligència sobre amenaces, Stefan Hostetler, «els arxius de configuració del tallafoc emmagatzemen informació confidencial que els actors maliciosos poden aprofitar per explotar i obtenir accés a la xarxa d’una organització.»

També ha afegit «aquests fitxers poden proporcionar als actors maliciosos informació crítica, com és el cas de la configuració d’usuaris, grups i dominis, la configuració de DNS i registres, i certificats.»

Cal indicar que Arctic Wolf havia observat anteriorment com els actors maliciosos, inclosos grups estatals i de programari de segrest, extreuen arxius de configuració de tallafocs per utilitzar-los en atacs futurs.

Mesures de seguretat necessàries

En conseqüència, SonicWall insta tots els seus clients i socis a comprovar de manera periòdica si hi ha actualitzacions per als dispositius. Per això, ha publicat una llista dels dispositius afectats al seu portal de clients, a “Gestió de productes > Llista de problemes”.

Els dispositius es classifiquen segons la seva urgència:

• «Actiu — Prioritat alta» per a dispositius exposats a Internet.
• «Actiu — Prioritat baixa» per a dispositius sense accés a Internet.
• «Inactiu» per a dispositius que no han establert contacte durant 90 dies.