Piratage SonicWall : tous les clients du back-up cloud touchés

Mi-septembre, SonicWall avait signalé un incident de sécurité dans son service de sauvegarde dans le cloud. Il est désormais clair que tous les clients sont concernés.

Le 17 septembre, le fournisseur de solutions de sécurité SonicWall avait annoncé le vol de fichiers de sauvegarde configurés pour la sauvegarde dans le cloud par des cybercriminels. Alors qu’à l'époque, le fournisseur de pare-feux avait affirmé que l'incident concernait « moins de 5 % » de ses utilisateurs, il reconnait aujourd’hui que « tous les clients » utilisant la fonctionnalité de sauvegarde dans le cloud ont été touchés.

Conséquences de l'attaque

Selon l'entreprise, les fichiers volés contiennent des identifiants chiffrés et des données de configuration. « Même si le cryptage reste en place, la possession de ces fichiers pourrait augmenter le risque d'attaques ciblées », prévient SonicWall dans son communiqué. Le spécialiste de la sécurité Arctic Wolf met également en garde contre les conséquences de cet incident. « Les fichiers de configuration des pare-feux stockent des informations sensibles qui peuvent être exploitées par des acteurs malveillants pour accéder au réseau d'une entreprise », a expliqué Stefan Hostetler, chercheur en renseignements sur les menaces chez Arctic Wolf. « Ces fichiers peuvent fournir aux acteurs malveillants des informations critiques comme les paramètres des utilisateurs, des groupes et des domaines, les paramètres DNS et de journalisation, ainsi que les certificats », a-t-il ajouté. Arctic Wolf a déjà pu observer des acteurs malveillants, notamment des groupes nationaux et des groupes de ransomware, exfiltrer des fichiers de configuration de pare-feu afin de les utiliser pour de futures attaques.

Mesures de sécurité requises

SonicWall invite actuellement tous ses clients et partenaires à vérifier régulièrement la disponibilité de mises à jour pour leurs terminaux. Sur son portail client, dans la rubrique « Product Management > Issue List » (Gestion des produits > Liste des problèmes), le fournisseur a publié une liste des appareils concernés selon un classement qui tient compte de l'urgence :

• « Actif – Priorité élevée » : concerne les appareils exposés à Internet ;

• « Actif – Priorité faible » : concerne les appareils sans accès à Internet ;

• « Inactif » : concerne les appareils qui n'ont pas établi de connexion depuis 90 jours.

SonicWall a également mis un guide détaillé de référence à la disposition des administrateurs.