نفوذ مهاجمان به سرویس بکاپ‌گیری ابری فایروال SonicWall؛ تمام فایل‌های بکاپ در خطرند!

مهاجمان توانسته‌اند با حملات Brute Force به سرویس بکاپ‌گیری ابری فایروال‌های SonicWall نفوذ کنند و به فایل‌های بکاپ پیکربندی تمام مشتریانی که از این سرویس استفاده کرده‌اند، دست یابند! شرکت سونیک‌وال پس از انجام تحقیقات با همکاری شرکت امنیتی Mandiant، این موضوع را در اواخر هفته گذشته به‌طور رسمی در وب‌سایت خود اعلام کرد. در ادامه با گزارش فالنیک از هک فایروال SonicWall همراه باشید.

گزارش‌های اولیه از تأثیر محدود هک فایروال SonicWall خبر می‌دادند

این اتفاق برای اولین بار در تاریخ 17 سپتامبر رخ داد. شرکت SonicWall در این تاریخ رسماً وقوع این حادثه امنیتی را تأیید کرد و اظهار داشت که فایل‌های تنظیمات پشتیبان کمتر از 5% از فایروال‌های نصب‌شده برای مشتریان مورد دسترسی قرار گرفته‌اند.

کوری کلارک (Cory Clark)، معاون عملیات تهدید در SonicWall در پستی در Reddit توضیح داد که مهاجمان با انجام مجموعه‌ای از حملات Brute Force به API سرویس پشتیبان‌گیری ابری، توانستند به سیستم دسترسی پیدا کنند.

مسئولان SonicWall هنوز به‌طور شفاف توضیح نداده‌اند که این حملات از چه زمانی آغاز شده است، اما اکنون مشتریان فایروال‌های این شرکت به این جمع‌بندی قطعی رسیده‌اند که باید همه دستگاه‌هایی را که پیکربندی آنها را در فضای ابری SonicWall ذخیره کرده‌اند، مورد بررسی و اصلاح جدی قرار دهند! این‌طور که به‌نظر می‎رسد، فاجعه خیلی فراتر از «فقط 5% فایروال‌های نصب‌شده» بوده است!

بازنشانی اعتبارنامه‌ها گامی حیاتی است

براساس برخی از نظرات در Reddit، بسیاری از مشتریان در همان زمان هشدار اولیه نسبت به بازنشانی اعتبارنامه (Credential) و اطلاعات کاربری خود اقدام کرده‌اند.

به کسانی‌که هنوز در این رابطه اقدامی نکرده‌اند، اکیداً توصیه می‌شود که وارد حساب کاربری خود در MySonicWall.com شوند، فایروال‌های ثبت‌شده خود را که تحت تأثیر این آسیب‌‌پذیری قرار گرفته‌اند، بررسی کنند و دستورالعمل‌های مربوط به «مهار و اصلاح» را طبق راهنمای اجرایی SonicWall انجام دهند.

سونیک وال اعلام کرده است: «فهرست نهایی و به‌روزشده دستگاه‌های آسیب‌دیده اکنون در پرتال MySonicWall در مسیر Product Management > Issue List در دسترس است».

همچنین سونیک‌وال توضیح داده که برای اولویت‌بندی در اصلاح دستگاه‌ها، این فهرست شامل فیلدی است که هر دستگاه را در یکی از سه دسته زیر قرار می‌دهد:

1. فعال – با اولویت بالا (Active – High Priority): دستگاه‌هایی که سرویس‌های اینترنتی فعال دارند.
2. فعال – با اولویت پایین‌تر (Active – Lower Priority): دستگاه‌هایی که سرویس اینترنتی ندارند.
3. غیرفعال (Inactive): دستگاه‌هایی که طی 90 روز گذشته به سرور مرکزی متصل نشده‌اند.

در ادامه آمده است: «ابتدا بر دستگاه‌های Active – High Priority تمرکز کنید و سپس به سراغ دستگاه‌های Active – Lower Priority بروید.

شرکت SonicWall تأکید کرده است که تمام سرویس‌هایی که اعتبارنامه (Credential) آنها در زمان پشتیبان‌گیری فعال بوده است، باید حتماً بازبینی شوند و پسوردهای آنها ریست شود. این کار باید برای هر دستگاه آسیب‌دیده انجام شود.

این شرکت همچنین به کاربران امکان داده است تا فایرول‌های آسیب‌دیده را از طریق فایل‌های تنظیمات به‌روزشده توسط سونیک وال اصلاح کنند.

با هک فایروال SonicWall چه اطلاعاتی از فایل‌های بکاپ در خطر قرار گرفته است؟

فایل‌های بکاپ پیکربندی فایروال‌های SonicWall شامل داده‌هایی درباره تنظیمات سیستم و دستگاه، پیکربندی‌های شبکه، قوانین و تنظیمات مسیریابی (روتینگ)، رول‌های فایروال، سرویس‌های امنیتی فعال، سیاست‌های استفاده، حساب‌های کاربری گروهی، اعتبارنامه‌ها و سیاست‌های پسوردها می‌شوند.

محتوای این فایل‌ها به‌صورت رمزگذاری‌شده ذخیره می‌شوند؛ به جز بخش‌های مربوط به اعتبارنامه‌ها و اطلاعات محرمانه که به‌صورت جداگانه و اختصاصی رمزنگاری می‌شوند. این کار در فایروال‌های SonicWall نسل 7 و بالاتر با متد AES-256 و در فایروال‌های نسل 6 با 3DES انجام می‌شود. علاوه بر این، فایل‌های بکاپ زمانی‌که از طریق API پشتیبان‌گیری ابری MSW (MSW Cloud Backup API) برای ذخیره‌سازی پردازش می‌شوند، مجدداً رمزگذاری می‌شوند.

به احتمال زیاد مهاجمان از طریق همین API اقدام به دانلود فایل‌ها کرده‌اند. این API هنگام بازیابی فایل، آن را به حالت رمزگذاری‌شده اصلی بازمی‌گرداند؛ با این تفاوت که اعتبارنامه‌ها و اطلاعات محرمانه همچنان به‌صورت رمزگذاری‌شده باقی می‌مانند. با این حال SonicWall هشدار داده است که:

«اگرچه رمزنگاری این اطلاعات پابرجا باقی مانده است، اما در دسترس بودن فایل‌های بکاپ برای مهاجمان می‌تواند خطر حملات هدفمند را افزایش دهد. زیرا این فایل‌ها شامل اطلاعاتی هستند که می‌تواند بهره‌برداری از فایروال مربوطه را برای مهاجمان آسان‌تر کند».

کلارک تأیید کرده است که اکانت‌های ادمین‌های داخلی (Built-in Administrator Accounts) در این فایل‌های بکاپ وجود ندارد، اما با این حال «توصیه می‌شود که این اکانت‌ها نیز به‌عنوان بخشی از اقدامات امنیتی کلی، به‌روزرسانی یا تغییر داده شوند».

با وجود اطمینان‌بخشی SonicWall مبنی بر اینکه این شرکت اقدامات امنیتی سخت‌گیرانه‌تری را پیاده‌سازی کرده است و در همکاری نزدیک با شرکت امنیتی Mandiant برای تقویت زیرساخت‌های ابری و سیستم‌های نظارتی خود کار می‌کند، اما هنوز نگرانی‌هایی وجود دارد. هنوز مشخص نیست چه تعداد از مشتریان دوباره تصمیم خواهند گرفت تا فایل‌های بکاپ پیکربندی فایروال‌های خود را در فضای ابری اختصاصی خود در سرویس‌های سونیک‌وال ذخیره کنند!