São Paulo — InkDesign News — Um ataque cibernético recente ao serviço de backup em nuvem da SonicWall revelou vulnerabilidades mais profundas do que o inicialmente reportado, afetando 100% dos usuários que utilizam o serviço. A empresa identificou o acesso não autorizado a arquivos de configuração de firewall, que poderiam ser explorados por atacantes.
Vetor de ataque
De acordo com a SonicWall, o vetor de ataque foi identificado como acessos não autorizados a arquivos de configuração armazenados na nuvem. A empresa descreveu o incidente como “um incidente de arquivo de backup em nuvem” (“cloud backup file incident”). Atacantes podem explorar essas configurações para comprometer o firewall de clientes, embora o impacto inicial tenha sido estimado em menos de 5% da base instalada de firewalls da SonicWall.
Impacto e resposta
Em 8 de outubro, SonicWall atualizou sua base de conhecimento, revelando que “uma parte não autorizada acessou arquivos de backup de configuração de firewall para todos os clientes que utilizaram o serviço de backup em nuvem” (“an unauthorized party accessed firewall configuration backup files for all customers who have used SonicWall’s cloud backup service”). Isso representa uma mudança significativa na estimativa de afetados, destacando a gravidade do incidente.
SonicWall afirmou que os arquivos continham credenciais criptografadas, aumentando o risco de ataques direcionados. A empresa não relatou ataques subsequentes até o momento, mas todos os clientes com firewalls SonicWall cujos arquivos de preferência foram armazenados no MySonicWall.com devem seguir a orientação publicada sobre contenção imediata.
Análise e recomendações
Gene Moody, CTO da Action1, comentou que a mudança rápida na estimativa de afetados é uma prática comum em investigações de incidentes, ressaltando que “a abordagem mais segura é assumir que 100% dos clientes potencialmente afetados estão em risco” (“the safest approach is to assume that 100% of potentially affected customers are at risk”). Essa situação reforça a necessidade de atenção a alertas de segurança de fornecedores e a rotação regular de credenciais, além da proibição rigorosa de reutilização de credenciais.
A SonicWall está notificando todas as partes impactadas e disponibilizou ferramentas para auxiliar na avaliação e remediação do incidente. A empresa implementou medidas de segurança adicionais em sua infraestrutura de nuvem e colaboração com a Mandiant para melhorar seus sistemas de monitoramento.
O incidente não apenas destaca as vulnerabilidades em serviços de terceiros, mas também enfatiza a importância de práticas robustas de segurança em ambientes corporativos.
Fonte: (Dark Reading – Segurança Cibernética)
