🛡 概要
SonicWallは、先月同社のクラウドバックアップサービスを利用するすべての顧客がセキュリティ侵害の影響を受けたことを確認しました。この事件は、特定のMySonicWallアカウントに保存されていたファイアウォール設定バックアップファイルを露出させたとされています。MySonicWallは、製品アクセス、ライセンス、登録、ファームウェアの更新、サポートケース、ファイアウォール設定のクラウドバックアップを管理するためのオンラインポータルです。顧客は、侵害されたシステムにより、認可されていない者がアクセスできる可能性のあるファイアウォール設定バックアップファイルを保護するために、MySonicWallアカウントの資格情報をリセットするよう警告されました。
🔍 技術詳細
SonicWallによると、侵害されたファイルにはAES-256で暗号化された資格情報と設定データが含まれており、悪意のある攻撃者がファイアウォールを悪用しやすくなる可能性があります。約5%のファイアウォール顧客がクラウドバックアップサービスを利用しているとのことです。さらに、SonicWallは、著名なインシデントレスポンス企業Mandiantと協力して調査を行い、すべてのクラウドバックアップサービスを利用している顧客のファイアウォール設定バックアップファイルが無許可の者にアクセスされたことを確認しました。この調査の結果、ユーザーはMySonicWallにログインし、製品管理→問題リストを確認することで、自分のデバイスが影響を受けているかを確認できます。
⚠ 影響
SonicWallのセキュリティ侵害は、クラウドバックアップサービスを利用しているすべての顧客に影響を及ぼすものであり、特にファイアウォールの設定情報が漏洩したことは深刻な問題です。攻撃者は露出したファイルを利用して、ファイアウォールの設定を変更したり、ネットワークの侵入を試みたりする可能性があります。顧客は、MySonicWallの警告を定期的に監視し、影響を受けたデバイスの更新リストを確認することが重要です。特に、インターネットに接続されているファイアウォールの資格情報を優先的にリセットする必要があります。
🛠 対策
SonicWallは、顧客がリスクを管理するための重要な手順を提供しています。すべてのローカルユーザーのパスワードをリセットし、TOTPの一時アクセスコードをリセットすることが推奨されています。また、LDAP、RADIUS、TACACS+サーバーのパスワード、IPSecサイト間およびGroupVPNポリシーの共有シークレット、L2TP/PPPoE/PPTP WANインターフェースのパスワードの更新も必要です。さらに、Cloud Secure Edge (CSE) APIキーのリセットや、AWSキーの更新、SNMPv3ユーザー資格情報のリセットも行うべきです。これらの手順を踏むことで、セキュリティを強化し、さらなるリスクを軽減することが可能です。
