SonicWall ha emitido un asesoramiento urgente que insta a todos los clientes a realizar un reinicio de credencial esencial después de que los investigadores de seguridad descubrieron que los archivos de copia de seguridad de la configuración de MySonicwall se expusieron inadvertidamente en el almacenamiento público.
Los archivos confidenciales contenían contraseñas encriptadas, claves previas al intercambio y certificados TLS utilizados por los electrodomésticos Sonicos, lo que podría permitir a los actores de amenaza descifrar y aprovechar las credenciales para obtener acceso a la red no autorizado.
La base de conocimiento de Sonicwall describe tres fases críticas: contención, remediación y monitoreo, para mitigar el riesgo y restaurar las operaciones seguras.
Bloquear la gestión de WAN
Para reducir inmediatamente la exposición, SonicWall recomienda deshabilitar o restringir todos los servicios de gestión basados en WAN antes de continuar con los restos de contraseña.
Los administradores deben navegar a la red → Sistema → interfaces, editar cada interfaz WAN y deshabilitar HTTP/HTTPS y SSH Management.
Deshabilitar las opciones de gestión HTTPS/SSH
Del mismo modo, los servicios SSL VPN e IPSEC VPN deben desactivarse accediendo a la red → SSL VPN → Configuración del servidor y red → Reglas y configuraciones IPSEC VPN →, respectivamente.
El acceso SNMP V3 debe desactivarse en el dispositivo → Configuración → SNMP para evitar que los comandos no autorizados de SNMP obtengan/establezcan los comandos de exponer las identificaciones del motor o las cadenas comunitarias.
Restringir las reglas de acceso/acceso a las direcciones IP conocidas/confiables evita que los atacantes se vuelvan a conectar después de los cambios de credenciales.
Sonicos 6.5.5.1 y 7.3.0 cuentan con una opción de aplicación dinámica que bloquea las cuentas de los usuarios hasta que se establece una nueva contraseña, asegurando que la contención permanezca efectiva incluso si las restricciones de WAN no se pueden aplicar completamente.
Restablecimiento de credencial
Las acciones clave incluyen restablecer las contraseñas para todos los usuarios locales y volver a inscribir los enlaces TOTP.
Los administradores deben actualizar las contraseñas de la cuenta BIND en los servidores LDAP, RADIUS y TACACS+, rotando secretos compartidos con valores con sha-256.
Girar secretos compartidos
Todas las claves previas al intercambio de VPN IPSEC, utilizadas para túneles de sitio a sitio y GroupVPN requieren reemplazo con nuevos secretos encriptados AES-256, con actualizaciones correspondientes en puertas de enlace remotas.
Las credenciales de la interfaz WAN para L2TP/PPPOE/PPTP y WWAN celular deben actualizarse en coordinación con los ISP. Las cuentas dinámicas de DNS, ClearPass NAC y el registro de correo electrónico deben reiniciar sus contraseñas para evitar fallas de entrega.
Finalmente, actualice las claves de cifrado en el modo de túnel de administración IPSEC del sistema de gestión global (GMS) Modo de gestión IPSEC en Dispositivo → Configuración → Administración, lee el Base de conocimiento.
Después de la remediación, vuelva a habilitar los servicios gradualmente, verificando cada uno con una prueba de inicio de sesión exitosa y rotación de la tecla SSH. Se recuerda a los clientes que confían en los flujos de trabajo automatizados para actualizar scripts que hacen referencia a las credenciales antiguas.
El monitoreo continuo del sistema y los registros de auditoría es esencial. Los administradores deben revisar el monitor → registros → registros del sistema y registros de auditoría, filtrando fallas de autenticación repetidas o anomalías en los cambios de configuración.
Exporte los registros a CSV para un análisis detallado y aproveche las integraciones SIEM utilizando syslog sobre TLS 1.2 para garantizar el reenvío seguro.
Siguiendo estos pasos salvaguardará los entornos de SonicWall contra la explotación de las copias de seguridad de la configuración expuesta y reforzará la integridad de las defensas perímetro de red.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
