تعرضت شركة SonicWall المتخصصة في حلول الأمن السيبراني لهجوم استهدف خدمتها الخاصة بالنسخ الاحتياطي السحابي للجدران النارية. وقد أظهرت التحقيقات أن مهاجمين نجحوا في الوصول إلى ملفات تفضيلات الجدران النارية المخزنة في الخدمة السحابية لحوالي 5% من قاعدة العملاء.
وبحسب الشركة، فإن بيانات الاعتماد الموجودة في هذه الملفات مشفرة، إلا أن الملفات تضم أيضاً معلومات حساسة قد تتيح للقراصنة استغلال الجدران النارية المتأثرة مستقبلاً، بما في ذلك الرقم التسلسلي للجدار الناري. أكدت الشركة في بيانها الصادر في 17 سبتمبر والمحدث في 18 سبتمبر أنها لا تملك مؤشرات على تسريب هذه الملفات عبر الإنترنت، وأن الهجوم لم يكن من نوع برمجيات الفدية، بل سلسلة من محاولات القوة الغاشمة استهدفت الوصول إلى ملفات النسخ الاحتياطي.
تعليمات للتحقق والاحتواء
دعت SonicWall جميع العملاء إلى تسجيل الدخول إلى MySonicWall.com للتحقق مما إذا كانت النسخ الاحتياطية السحابية مفعلة لمنتجاتهم. وفي حال كانت مفعلة، ينبغي التأكد مما إذا كانت الأرقام التسلسلية الخاصة بجدرانهم النارية من بين البيانات المتأثرة. وأوضحت الشركة أنه إذا تبين ذلك، فإن هذه الأجهزة معرضة للخطر ويجب اتباع إرشادات الاحتواء والمعالجة. أما العملاء غير المتأثرين فقد طُلب منهم متابعة صفحة الحادثة بانتظام للاطلاع على أي تحديثات جديدة.
وحذرت الشركة من أن حساسية الملفات المستهدفة تفرض على العملاء اتخاذ إجراءات عاجلة، تبدأ بتعطيل أو تقييد الوصول إلى الخدمات عبر الشبكة الخارجية WAN، ثم تنفيذ خطوات المعالجة الموصى بها. وتضمنت هذه الخطوات قائمة مرتبة بأولوية لتغيير جميع كلمات المرور والمفاتيح والأسرار الرقمية المرتبطة، مع الإشارة إلى أن بعض هذه التحديثات يجب إجراؤها في أنظمة أخرى مثل مزودي خدمة الإنترنت، ومقدمي خدمات DNS الديناميكي، وخدمات البريد الإلكتروني، والأطراف المقابلة في شبكات VPN، أو خوادم LDAP/RADIUS. كما نبهت الشركة إلى أن إهمال هذه التحديثات قد يؤدي إلى انقطاع في الإنترنت أو VPN أو تعطيل خدمات حيوية مثل التوثيق أو تنبيهات السجلات.
إجراءات إضافية وتداعيات أوسع
أوصت SonicWall بمراجعة السجلات بحثاً عن تغييرات غير معتادة في الإعدادات أو نشاط مريب. كما أكدت أن العملاء المتأثرين سيحصلون على ملف تفضيلات جديد لاستيراده في الجدار الناري، يتضمن إعادة تعيين عشوائية لكلمات مرور المستخدمين المحليين، ومفاتيح IPSec VPN، وإعادة ضبط إعدادات كلمة المرور ذات الاستخدام لمرة واحدة TOTP إذا كانت مفعلة.
الحادثة الأخيرة تأتي بعد سلسلة من الهجمات التي استهدفت منتجات الشركة خلال الأشهر الماضية. فقد كشفت SonicWall مؤخراً عن استغلال نشط لثغرة حرجة في خاصية الوصول الإداري إلى SonicOS وخدمة SSLVPN. وفي أغسطس، ذكرت شركة Arctic Wolf أنها رصدت محاولات تسلل متعددة قبل تنفيذ هجمات فدية عبر ثغرة غير معلنة في SonicWall SSL VPN، ما يشير إلى احتمال وجود ثغرة يوم-صفر.
