云备份泄露事件影响不到 5% 的客户，SonicWall 敦促用户重置密码

在影响 MySonicWall 帐户的安全漏洞中，防火墙配置备份文件被泄露后，SonicWall 敦促客户重置凭据。

该公司表示，最近检测到针对防火墙云备份服务的可疑活动，并且未知威胁行为者访问了不到 5% 的客户存储在云中的备份防火墙首选项文件。

该公司表示：“虽然文件中的凭证已加密，但文件中还包含可能使攻击者更容易利用相关防火墙的信息。”

该网络安全公司表示，它并不知道这些文件被威胁行为者泄露到网上，并补充说这不是针对其网络的勒索软件事件。

报告指出：“这实际上是一系列暴力攻击，旨在获取备份中存储的首选项文件，以便威胁行为者进一步利用。” 目前尚不清楚谁是此次攻击的幕后黑手。

审计及其他
鉴于此事件，该公司敦促客户采取以下步骤：

登录 MySonicWall.com 并验证是否启用了云备份
验证受影响的序列号是否已在账户中被标记
通过限制从 WAN 访问服务、关闭对 HTTP/HTTPS/SSH 管理的访问、禁用对 SSL VPN 和 IPSec VPN 的访问、重置防火墙上保存的密码和 TOTP，以及查看日志和最近的配置更改以查找异常活动，启动遏制和补救程序
此外，还建议受影响的客户将 SonicWall 提供的最新首选项文件导入防火墙。新的首选项文件包含以下更改：

所有本地用户的随机密码
重置 TOTP 绑定（如果已启用）
随机 IPSec VPN 密钥
声明称：“SonicWall 提供的修改后的首选项文件是根据云存储中的最新首选项文件创建的。如果最新的首选项文件不符合您的期望设置，请不要使用该文件。”

此次披露之际，隶属于 Akira 勒索软件组织的威胁行为者继续瞄准未修补的 SonicWall 设备，利用一年前的安全漏洞（CVE-2024-40766，CVSS 评分：9.3）获取目标网络的初始访问权限。

CIS 构建套件
本周早些时候，网络安全公司 Huntress 详细介绍了一起Akira 勒索软件事件，该事件涉及利用 SonicWall VPN，其中威胁行为者利用包含其安全软件恢复代码的纯文本文件来绕过多因素身份验证 (MFA)、抑制事件可见性并试图删除端点保护。

研究人员 Michael Elford 和 Chad Hudson 表示：“在此次事件中，攻击者使用暴露的 Huntress 恢复代码登录Huntress 门户，关闭活动警报，并启动 Huntress EDR 代理的卸载，有效地试图蒙蔽该组织的防御，使其容易受到后续攻击。”

这种级别的访问权限可以被武器化，用于禁用防御、操纵检测工具并执行进一步的恶意操作。组织应该将恢复代码与特权帐户密码同等对待。