Un nou val de atacuri cibernetice lovește dispozitivele SonicWall SSLVPN (rețele private virtuale cu strat de socket securizat). Începând cu 4 octombrie 2025, atacatorii au accesat rapid peste 100 de conturi folosind credentiale valide furate, nu forță brută. Aceste atacuri vin la scurt timp după o breșă majoră de securitate la SonicWall.
Atacurile au implicat autentificări rapide de la aceeași adresă IP (202.155.8[.]73). În cazurile mai grave, infractorii cibernetici au efectuat scanări de rețea și au încercat accesul la conturi locale. SonicWall a confirmat că o breșă anterioară a expus copiile de rezervă criptate ale configurațiilor tuturor clienților, fișiere care conțin date critice, inclusiv credențiale.
Deși legătura directă nu este confirmată, sincronizarea este extrem de suspectă. Clienții SonicWall sunt îndemnați să acționeze imediat: să reseteze toate credențialele expuse (parole, chei VPN etc.), să aplice autentificarea multi-factor (MFA) și să limiteze temporar accesul la distanță până la finalizarea măsurilor de securitate.
Sfaturi de Protectie
1. Resetarea Obligatorie a Tuturor Credențialelor Expuse
Obiectiv: Invalidați imediat toate secretele din configurația firewall-ului.
Pasul 1: Accesați interfața de administrare a firewall-ului (local sau prin conexiune securizată temporară).
Pasul 2: Resetați toate parolele locale de administrator (Local Admin Passwords) și creați parole complexe, unice.
Pasul 3: Resetați cheile pre-partajate VPN (Pre-Shared Keys - PSK) utilizate pentru tunelurile VPN.
Pasul 4: Schimbați credențialele de LDAP/RADIUS Bind folosite de firewall pentru autentificarea la serverele de directoare (AD).
2. Dezactivarea Temporară a Accesului WAN de Management
Obiectiv: Blocați orice tentativă de re-autentificare din exterior.
Pasul 1: Dezactivați imediat în setările interfețelor (WAN Interface Settings) managementul de la distanță pentru protocoalele HTTP, HTTPS, SSH și SNMP.
Pasul 2: Dezactivați temporar serviciul SSL VPN complet (sau eliminați regulile de acces WAN către acesta).
Pasul 3: Re-activați aceste servicii doar după ce toate credențialele au fost resetate și MFA a fost aplicat (vezi Sfatul 9).
3. Implementarea Multi-Factor Authentication (MFA)
Obiectiv: Adăugați un strat de securitate care face credențialele furate inutile.
Pasul 1: Asigurați-vă că MFA este activat și aplicat forțat (Mandatory) pe toate conturile utilizate pentru accesul SSL VPN.
- Acțiune: Accesați Panoul de Administrare al soluției VPN (ex: SonicWall, Cisco, Fortinet etc.), navigați la secțiunea Securitate și Confidențialitate (Security & Privacy)/Setări Cont/Utilizatori sau similar, și configurați politicile de autentificare astfel încât MFA/2FA să fie o cerință obligatorie pentru toți utilizatorii și grupurile cu acces la VPN.
Pasul 2: Extindeți aplicarea MFA la conturile cu privilegii administrative (admin accounts) ale firewall-ului.
Pasul 3: Testați MFA pentru a confirma că este funcțional pe toate căile de acces VPN.
4. Revocarea Cheilor Externe
Obiectiv: Invalidați orice automatizare sau conexiune terță parte bazată pe secretele din backup.
Pasul 1: Accesați sistemele terțe (ex: platforma de monitorizare sau automatizare) care interacționează cu firewall-ul.
Pasul 2: Revocați și generați din nou External API Keys (chei API externe) folosite pentru managementul sau integrarea firewall-ului.
Pasul 3: Schimbați credențialele pentru serviciile de Dynamic DNS (DDNS), SMTP sau FTP configurate în cadrul firewall-ului.
5. Monitorizare Intensivă și Logging Extins
Obiectiv: Căutați dovezi de mișcare laterală sau acces inițial.
Pasul 1: Măriți nivelul de logging pe dispozitivele SSL VPN și firewall la nivel maxim.
Pasul 2: Exportați jurnalele din ultimele săptămâni și căutați autentificări reușite în perioada atacului (începând cu 4 Octombrie).
Pasul 3: Filtrați jurnalele după adrese IP suspecte, în special 202.155.8[.]73, și după nume de utilizator neobișnuite.
6. Schimbarea Parolelor Wireless/SNMP
Obiectiv: Resetați toate secretele non-autentificare găsite în fișierele de configurare.
Pasul 1: Dacă firewall-ul gestionează rețele wireless, schimbați imediat parolele/frazele de acces (passphrases) pentru toate SSID-urile.
Pasul 2: Resetați ambele stringuri comunitare (Community Strings), READ și WRITE, pentru protocolul SNMP.
7. Izolarea Dispozitivelor Afectate
Obiectiv: Opriți orice tentativă de mișcare laterală din partea atacatorului.
Pasul 1: Identificați mașinile la care atacatorul a reușit să se conecteze prin VPN .
Pasul 2: Izolați imediat acele mașini de rețeaua internă (prin dezactivarea portului switch-ului sau prin izolarea EDR).
Pasul 3: Efectuați o investigație detaliată pe aceste endpoint-uri.
8. Verificarea Permisiunilor
Obiectiv: Reduceți daunele viitoare în cazul compromiterii credențialelor.
Pasul 1: Revizuiți toate grupurile de utilizatori VPN și setati-le la permisiuni minime.
Pasul 2: Asigurați-vă că utilizatorii VPN au acces doar la resursele strict necesare și nu la întreaga rețea internă.
Pasul 3: Limitați sau eliminați accesul la distanță pentru conturile de serviciu care nu necesită acest lucru.
9. Restabilirea Treptată a Serviciilor
Obiectiv: Reintroduceți serviciile sub monitorizare strictă.
Pasul 1: După ce toți pașii de remediere (1-8) sunt finalizați, re-activați SSL VPN și accesul la distanță.
Pasul 2: Monitorizați intens jurnalele în primele 48 de ore după re-activare pentru orice autentificare sau trafic suspect.
Pasul 3: Blocați accesul din IP-uri care nu sunt asociate în mod obișnuit cu utilizatorii dvs. (Geo-blocking).
10. Scanarea Dispozitivelor (Malware/Backdoor-uri)
Obiectiv: Verificați dacă atacatorii au lăsat în urmă backdoor-uri pe firewall sau pe endpoint-uri.
Pasul 1: Rulați verificări de integritate sau scanări anti-malware (dacă sunt disponibile) pe dispozitivul firewall.
Pasul 2: Luați în considerare reinstalarea sistemului de operare al firewall-ului, folosind o imagine oficială curată, dacă există cea mai mică suspiciune de compromitere.
Pasul 3: Efectuați scanări complete cu EDR (Endpoint Detection and Response) pe toate endpoint-urile.
Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro