Après l’attaque de ses propres systèmes exploitant des vulnérabilités jusqu'alors inconnues, présentes dans certains de ses produits, le fournisseur d'équipements de sécurité réseau SonicWall invite ses clients à prendre des mesures préventives urgentes. « Récemment, SonicWall a identifié une attaque coordonnée contre ses systèmes internes menée par des acteurs très sophistiqués qui ont exploité de probables vulnérabilités « zero-day » affectant certains de ses produits d'accès à distance sécurisé SonicWall », a déclaré l’entreprise dans message d’alerte publié sur son site web vendredi dernier.

À l'origine, l'entreprise pensait que plusieurs de ses appareils physiques et virtuels de ses séries Secure Mobile Access (SMA), ainsi que le client VPN NetExtender et les pare-feu SonicWall étaient en cause. Mais, après une enquête plus approfondie, le fabricant a publié samedi une liste revue à la baisse des produits vulnérables. Selon l'entreprise, aucune génération de pare-feu SonicWall n'est concernée, pas plus que le client VPN NetExtender, ou les points d’accès SonicWall SonicWave AP ou encore ses appliances des séries SMA 1000. Les seuls produits vulnérables sont les appliances des séries SMA 100 et plus précisément les appliances SMA 200, SMA 210, SMA 400, SMA 410 et SMA 500v (virtuels).

Les clients des séries SMA 100, invités à agir

Les appliances des séries SMA 100 sont des passerelles de gestion des accès qui permettent aux petites et moyennes entreprises de fournir aux employés distants un accès par navigateur et par VPN aux ressources internes de l'entreprise, voire à des ressources hybrides hébergées dans le cloud. Ces appliances peuvent être combinée à un client VPN comme le client VPN NetExtender. « Les clients actuels des séries SMA 100 peuvent continuer à utiliser NetExtender pour l'accès à distance avec les appliances SMA 100 », a déclaré SonicWall. « Nous avons déterminé que ce cas d’usage ne présentait pas de risque de compromission ».

Cependant, SonicWall conseille fortement aux utilisateurs d’appliances des séries SMA 100 exécutant la version 10.x du logiciel de désactiver l'accès au bureau virtuel Virtual Office et à l'interface d’administration HTTPS depuis Internet le temps pour le fabricant d’examiner de manière plus approfondie les vulnérabilités. Si les clients jugent cette solution peu pratique, SonicWall leur suggère au moins d’appliquer les règles d'accès basées sur l'IP, soit via un pare-feu, soit à partir du SMA lui-même en suivant les instructions données par l'entreprise. Le fabricant recommande également d'activer l'authentification à facteurs multiples pour tous les comptes SMA, les comptes de pare-feu SonicWall ou MySonicwall. Le SMA prend en charge les mots de passe à usage unique basés sur le temps (Time-based one time passwords, TOTP) générés par des applications mobiles comme Google Authenticator. Le TOTP peut également être activé pour fonctionner en plus de l'authentification LDAP avec les connexions SSL-VPN sur les appareils SonicWall.

Les fournisseurs de sécurité, cibles des attaquants

On ne sait pas très bien ce que cherchaient les hackers en ciblant SonicWall, s’ils voulaient espionner l’entreprise ou s’ils cherchaient à obtenir de l’argent, comme c’est le cas d’une attaque par ransomware et d'autres modalités d'extorsion. L'entreprise n'a pas divulgué d'informations sur les charges utiles des attaques, les outils ou autres indicateurs de compromis (Other Indicators of Compromise, OiC). Un représentant de SonicWall a déclaré par courrier électronique que pour l'instant l'entreprise ne livrerait aucune information supplémentaire au-delà de ce qu’elle a annoncé dans son avis d’alerte.

Après FireEye et Malwarebytes, SonicWall est le troisième fournisseur de cybersécurité à annoncer une faille de sécurité. FireEye et Malwarebytes ont été ciblés par le même acteur de la menace, associé semble-t-il aux services de renseignement russes. Cet acteur est également à l’origine de la vaste attaque contre le logiciel de la chaîne d'approvisionnement et à l’injection de backdoors dans les mises à jour du logiciel Orion de SolarWinds. Malwarebytes a été ciblé par un vecteur d'attaque différent impliquant des applications ayant un accès privilégié aux environnements Microsoft Office 365 et Azure. Un vecteur d'attaque similaire a été utilisé sans succès contre l’entreprise de cybersécurité CrowdStrike. Même s’il n’y a actuellement aucun lien entre l'attaque contre SonicWall et les attaques SolarWinds ou Azure, il est clair que les pirates en général ne se privent plus de cibler les entreprises théoriquement les mieux protégées contre les attaques, c'est-à-dire les fournisseurs de sécurité eux-mêmes.