🛡 概要
SonicWallは、MySonicWallアカウントにおけるファイアウォール設定バックアップファイルが漏洩したことを受け、顧客に対して認証情報のリセットを促しています。このセキュリティ侵害は、攻撃者がシステムにアクセスする手段を確保するために行われたもので、SonicWallは直ちに攻撃者のアクセスを遮断し、サイバーセキュリティおよび法執行機関と連携して影響を調査しています。漏洩したファイルには、認証情報やトークンなどの機密情報が含まれており、これにより攻撃者がSonicWallデバイスを悪用するリスクが高まっています。
🔍 技術詳細
このセキュリティ侵害はCVE-2024-40766として知られる、SonicOSのSSLVPNアクセス制御の重大な脆弱性に関連しています。この脆弱性は、2024年11月にパッチが適用される予定であり、攻撃者はクラウドバックアップ用のAPIサービスを狙ったブルートフォース攻撃を行いました。SonicWallの調査によると、影響を受けたのは全体のファイアウォールの5%未満であり、漏洩したファイルには暗号化されたパスワードが含まれているものの、攻撃者がファイアウォールを悪用するための重要な情報も含まれていました。現在、これらのファイルがオンラインで漏洩した形跡はありませんが、管理者は早急に対策を講じる必要があります。
⚠ 影響
このインシデントの影響は重大であり、漏洩したバックアップファイルにより、攻撃者はSonicWallデバイス上で稼働するサービスの認証情報にアクセスする可能性があります。これにより、ネットワーク内の機密情報が悪用されるリスクが高まります。SonicWallは、管理者に対して、影響を受けた設定を持つサービスの認証情報を更新するよう警告しています。具体的には、VPNアカウントやサービスで使用されるすべての認証情報、APIキー、認証トークンをリセットする必要があります。これにより、ネットワークの安全性を確保するための重要なステップとなります。
🛠 対策
SonicWallは、管理者が漏洩したファイアウォール設定を悪用されるリスクを最小限に抑えるための詳細なガイダンスを提供しています。まず、認証情報をリセットする前に、WANからデバイスへのサービスへのアクセスを無効にするか制限することが推奨されています。その後、すべての認証情報、APIキー、認証トークンをリセットする必要があります。また、SonicOSに設定されているパスワードや共有シークレット、暗号化キーは、ISPやダイナミックDNSプロバイダー、メールプロバイダー、リモートIPSec VPNピア、LDAP/RADIUSサーバーなど、他の場所でも更新する必要があることに注意してください。
