Разработчика VPN и файерволлов «изощренно» взломали через его собственные разработки

, Текст: Роман Георгиев

Компания SonicWall пала жертвой «изощрённой» кибератаки на уязвимости нулевого дня в её собственных разработках. Это уже далеко не первая успешная атака на поставщиков средств информационной защиты за последние два месяца.

Киберайкидо

Компания SonicWall, известный разработчик средств сетевой безопасности, распространила экстренный бюллетень безопасности, в котором сообщается, что инфраструктура компании взломана. Взломана компания была через уязвимость в собственной VPN-разработке SonicWall.

Продукты SonicWall — аппаратные файерволлы, VPN-шлюзы и другие средства защиты сетей от проникновения, — широко используются и в малом, и в среднем бизнесе, и в крупных организациях.

В конце прошлой недели SonicWall выпустила сообщение об «изощрённой» кибератаке на свои системы. В бюллетене говорится, что злоумышленники вероятно использовали уязвимости нулевого дня в аппаратном VPN-устройстве Secure Mobile Access и VPN-клиенте NetExtender. Иными словами, до совершения атаки разработчики были не в курсе существования этой уязвимости. Судя по обновлённому в субботу бюллетеню, в SonicWall до сих пор пытаются понять, какие из их продуктов уязвимы.

sonicwall600.jpg

Компания SonicWall, известный разработчик средств сетевой безопасности, взломана через уязвимость в собственной VPN-разработке

Проблема точно затрагивает VPN-клиент NetExtender версии 10.x, используемый для подключения к устройствам SMA 100 и файерволлам SonicWall, а также программная оболочка Secure Mobile Access (SMA) версии 10.х на физических устройствах SMA 200, SMA 210, SMA 400, SMA 410 и виртуальном устройстве SMA 500v.

Уязвимые решения используются для удалённого доступа к внутренним корпоративным ресурсам.

Устройства серии SMA1000 уязвимости не содержат и к тому же используют другую клиентскую программу для подключения по VPN.

Рекомендации

Компания пытается выяснить, уязвимы ли устройства SMA 100, ориентированные на малый и средний бизнес. Точного ответа на этот вопрос у разработчиков пока нет. Тем не менее, пользователям рекомендуется настроить белые списки на самом SMA и разрешить доступ через файерволл только соединениям SSL-VPN, исходящим от проверенных IP-адресов. Пользователям NetExtender рекомендовано также ограничить доступ белыми списками.

Помимо этого пользователям рекомендовано активировать многофакторную авторизацию.

«По-видимому, не все эти рекомендации выполнялись в самой компании, и это сделало её уязвимой перед атаками через собственные разработки, — отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — По некоторым сведениям, SonicWall атаковали с помощью шифровальщика, но пока рано судить о том, насколько успешной была атака. Само использование слова «изощрённый» может указывать на то, что хакеры могли весьма глубоко проникнуть в инфраструктуру жертвы. Вопрос лишь в том, как быстро была пресечена деятельность шифровальной программы. В любом случае, SonicWall несёт теперь не только финансовый, но и серьёзный репутационный ущерб».

За последние несколько месяцев сразу несколько поставщиков средств информационной и сетевой безопасности, в том числе FireEye, Microsoft, Malwarebytes и Cisco, пали жертвами кибератак. Большая часть недавних инцидентов связана со взломом SolarWinds, в результате чего атакам подверглись ряд министерств и ведомств США, а также несколько крупнейших ИТ-корпораций.

Однако пока нет никаких свидетельств тому, что атака на SonicWall как-то связана с SolarWinds.


Источник: CNews