Um fornecedor líder de segurança rejeitou as alegações de uma vulnerabilidade de dia zero em seus produtos, afirmando que um aumento nos ataques de ransomware contra clientes se deve ao gerenciamento inadequado de senhas.
Comorelatado por Segurança da informação no início desta semana, pesquisadores de vários provedores de detecção de ameaças observaram um aumento nas invasões de ransomware Akira contra clientes da SonicWall no final de julho.
“Em alguns casos, dispositivos SonicWall totalmente corrigidos foram afetados após a rotação de credenciais. Apesar do TOTP [time-based one-time password] A MFA está habilitada, as contas ainda foram comprometidas em alguns casos”, afirmou a Arctic Wolf.
No entanto, em uma declaração atualizada hoje, a SonicWall postulou outra causa dos ataques bem-sucedidos em seus firewalls Gen 7 e mais recentes com SSLVPN ativado.
“Agora temos grande confiança de que a recente atividade do SSLVPN não está conectada a uma vulnerabilidade de dia zero. Em vez disso, há uma correlação significativa com a atividade de ameaças relacionada ao CVE-2024-40766, que foi divulgada e documentada anteriormente em nosso comunicado público SNWLID-2024-0015”, explicou.
“Atualmente, estamos investigando menos de 40 incidentes relacionados a essa atividade cibernética. Muitos dos incidentes estão relacionados a migrações de firewalls Gen 6 para Gen 7, em que as senhas de usuários locais foram transferidas durante a migração e não redefinidas. A redefinição de senhas foi uma etapa crítica descrita no comunicado original.”
Conselhos atualizados para clientes
O fornecedor de segurança pediu fortemente a todos os clientes que importaram as definições de configuração da 6ª geração para firewalls mais recentes que atualizem para o SonicOS 7.3, que possui proteção integrada contra ataques de senha de força bruta e autenticação multifator (MFA).
“Sem essas proteções adicionais, os ataques de força bruta de senha e MFA são mais viáveis”, alertou.
A SonicWall também pediu aos clientes que redefinissem todas as senhas de contas de usuários locais para quaisquer contas com acesso SSLVPN, especialmente se elas foram transferidas durante a migração da 6ª para a 7ª geração.
Acrescentou que o conselho anterior ainda se aplica, ou seja:
- Ativar proteção contra botnet e filtragem de Geo-IP
- Remover contas de usuário não utilizadas ou inativas
- Aplique políticas de MFA e senha forte
O fornecedor de segurança também agradeceu à comunidade de pesquisa – incluindo Arctic Wolf, Google Mandiant, Huntressand Field Effect – por sua vigilância.