Firma SonicWall, producent znanych zapór sieciowych (firewalli) oraz sprzętu do zapewniania bezpiecznego dostępu mobilnego (Secure Mobile Access), padła ostatnio ofiarą poważnego incydentu bezpieczeństwa. Tym razem nie chodziło o lukę w sprzęcie ani ransomware, ale o wykorzystanie kopii zapasowych konfiguracji zapór, przechowywanych w chmurze. Atakujący wykorzystali technikę ataku brute force w celu dostania się do plików backupów (preference files) w usłudze MySonicWall, zawierających niemal pełną konfigurację urządzeń.

Autor: 7 min czytania

Co się wydarzyło?

  • SonicWall potwierdziło, że atakującym udało się przełamać (atakiem brute force) zabezpieczenia usługi backupu w chmurze dla mniej niż 5% wszystkich instalacji jego zapór.
  • Nie jest to incydent związany z ransomware – atak nie został zgłoszony jako zdarzenie tego typu. Celem było uzyskanie dostępu do plików preferencji (preference files) zapór, zawierających konfigurację, do potencjalnego dalszego użycia przez przestępców.
  • SonicWall nie stwierdziło, by pliki te zostały dotychczas ujawnione.

Aspekty techniczne kopii zapasowych i zawartość plików konfiguracji

Plik backupu lub preference file zapory SonicWall to eksport całej konfiguracji urządzenia z momentu wykonania kopii. Zawiera m.in.:

  • ustawienia systemowe i urządzenia,
  • konfiguracje sieciowe, routing, reguły zapory,
  • reguły firewall i włączone usługi zabezpieczeń,
  • konfiguracje VPN: ustawienia, polityki, klucze (np. IPSec),
  • konta użytkowników i grup, zasady haseł, polityki bezpieczeństwa.

Mimo że hasła zapisane w plikach backupów były zaszyfrowane, inne dane mogą ułatwić atakującym późniejsze ataki na urządzenie zapory – np. znajomość reguł, konfiguracji sieci, usług, które były aktywne w chwili backupu.

Reakcja SonicWall i działania naprawcze

SonicWall podjęło szereg działań, by ograniczyć skutki incydentu oraz pomóc klientom w zabezpieczeniu się:

  1. Wyłączenie funkcji backupu w chmurze (backup feature) – by uniemożliwić dalsze nieautoryzowane dostępy do usługi.
  2. Przegląd infrastruktury i procedur w celu wzmocnienia bezpieczeństwa.
  3. Wezwanie klientów, by:
    • zalogowali się do portalu MySonicWall i sprawdzili, czy kopie zapasowe są włączone dla ich zapór,
    • sprawdzili, czy seriale ich urządzeń zostały wskazane jako „zagrożone” w systemie – SonicWall oznacza takie urządzenia banerem w interfejsie.
  4. Dostarczenie do importu nowych plików konfiguracji (preference files), które bazują na najnowszym backupie, ale są zmutowane pod względem kluczowych danych:
    • nowe losowe hasła lokalnych użytkowników,
    • zresetowane powiązania TOTP (jeśli były używane) – czyli tokeny uwierzytelniania dwuskładnikowego,
    • klucze pre-shared do tuneli IPSec VPN – te będą wymagać ręcznej konfiguracji po imporcie.
  5. Zalecenie, by działania te wykonano w czasie, gdy obciążenie sieci jest najmniejsze, gdyż import nowej konfiguracji powoduje restart firewalla.

Zagrożenia i potencjalne konsekwencje

Choć kryptografia zabezpieczająca hasła w plikach backupu jest istotna, ujawnienie konfiguracji stwarza wiele możliwości dla atakujących:

  • Możliwość analizy reguł zapór – wiedza o tym, co jest dozwolone, a co blokowane, może doprowadzić do planowania ruchu atakującego, który ominie zabezpieczenia.
  • Dostęp do informacji o VPN, certyfikatach, kluczach pre-shared – jeśli atakujący mają te dane, choćby w zaszyfrowanej formie, mogą próbować je odszyfrować lub wykorzystać w atakach słownikowych, jeśli były użyte słabe klucze.
  • Potencjalne wykorzystanie kont lokalnych, kont administratorów, dzięki znajomości kont i ich konfiguracji.
  • Możliwość eskalacji – jeśli procedury MFA / TOTP nie były wdrożone poprawnie lub były „wiązane” w pliku backupu, atakujący mogą manipulować procesem uwierzytelniania.

Zalecenia dla użytkowników i organizacji

Jeśli w twojej organizacji używane są firewalle SonicWall i funkcja backupów w chmurze, poniżej znajdziesz listę kroków, które należy pilnie wdrożyć:

  1. Szybka weryfikacja stanu backupu
    • Wejdź do MySonicWall i sprawdź, które z twoich urządzeń mają włączone kopie zapasowe.
    • Sprawdź, czy numer seryjny twojego firewalla jest oznaczony jako zagrożony.
  2. Rotacja haseł i kluczy
    • Zmień hasła wszystkich lokalnych użytkowników i administratorów; usuń lub odłącz TOTP i wymuś ponowne zarejestrowanie.
    • Zaktualizuj i wygeneruj nowe klucze pre-shared do wszystkich VPN-ów (np. IPSec), zmień je we wszystkich punktach końcowych (peerach).
    • Zresetuj użytkowników/sekrety używane w LDAP, RADIUS, TACACS+, SNMP, a także wszelkie usługi zewnętrzne, które były powiązane z zaporą (np. usługi Dynamic DNS, integracje z chmurą).
  3. Ograniczenie powierzchni ataku
    • Wyłącz zarządzanie urządzeniem przez WAN (HTTP, HTTPS, SSH) tam, gdzie to możliwe.
    • Ogranicz dostęp do VPN-ów i usług zdalnych do zaufanych adresów IP.
    • Na czas wdrożenia nowych konfiguracji usuń lub ogranicz dostęp z Internetu do serwisów, które mogą być wektorem ataku.
  4. Import zmienionej konfiguracji
    • Skorzystaj z nowych plików preferencji udostępnionych przez SonicWall – mają one zanonimizowane lub zmienione krytyczne dane (hasła, klucze).
    • Importuj nowe pliki konfiguracji w czasie okna serwisowego (maintenance window), kiedy restart zapory będzie najmniej uciążliwy.
  5. Monitorowanie i audyt
    • Sprawdzaj logi systemowe i audytowe – szczególnie nieudane próby logowań, zmiany konfiguracji, próby dostępu spoza organizacji.
    • Upewnij się, że mechanizmy MFA / TOTP są poprawnie skonfigurowane i nie zostały naruszone.
    • Przeprowadź audyt wszystkich urządzeń i usług współpracujących z zaporami – szczególnie VPN-ów, usług zarządzania, integracji z chmurą.

Podsumowanie

Atak na backupy konfiguracji w MySonicWall to przypomnienie, że nawet „z czegoś, co jest kopią zapasową” mogą płynąć realne zagrożenia, jeśli dane są odpowiednio wrażliwe – a konfiguracje zapór sieciowych do takich należą. Choć atakujący nie wykorzystywali luki typu zero-day w kodzie zapór (tj. nie było bezpośredniego błędu bezpieczeństwa w firmware), sama informacja o konfiguracji może dawać przewagę: wiedzę o tym, co jest włączone, jakie klucze stosowane, jakie punkty dostępu istnieją.

Kluczowe jest, by użytkownicy i administratorzy reagowali szybko: weryfikowali, które urządzenia są zagrożone, resetowali hasła dla kont, ograniczali dostęp, importowali nowe, bezpieczniejsze konfiguracje. Warto pamiętać, że ochrona to nie tylko zabezpieczenie sprzętu, ale także kontrola nad danymi konfiguracyjnymi i tym, jak są przechowywane.