Une récente faille de sécurité a exposé les fichiers de configuration de pare-feu dans le cloud de SonicWall. Une attaque ciblant les services de sauvegarde cloud du fournisseur de cybersécurité a compromis les données de moins de 5 % de ses clients. Cette brèche soulève des questions sur la sécurité des dispositifs réseau et incite fortement les utilisateurs à réinitialiser leurs mots de passe et identifiants. Les administrateurs IT recherchant des détails précis sur cette vulnérabilité ou des recommandations de cybersécurité peuvent lire cet article complet. Un accès non autorisé aux préférences de pare-feu Une attaque par force brute sur MySonicWall SonicWall a détecté une activité suspecte sur son service de sauvegarde cloud dédié aux configurations de pare-feu. Des cybercriminels non identifiés ont mené des attaques par force brute pour extraire les préférences système stockées sur les comptes MySonicWall. Moins de 5 % des clients seraient concernés, selon l’éditeur de solutions de sécurité réseau. Aucune preuve de fuite publique La société affirme ne pas avoir identifié de fuite publique des fichiers compromis, qui contiennent des données chiffrées, mais également des informations sensibles pouvant faciliter une exploitation sur les dispositifs concernés. Contrairement à une attaque par rançongiciel, cet incident ne visait pas l’infrastructure interne de SonicWall. Mesures d’atténuation et actions recommandées Étapes à suivre pour les administrateurs Pour limiter les risques, SonicWall recommande aux utilisateurs de : Se connecter à MySonicWall.com pour vérifier les sauvegardes cloud activées Contrôler si les numéros de série de leurs appareils ont été signalés comme compromis Lancer les procédures de confinement et de remédiation en désactivant l’accès à distance aux services WAN, HTTP/HTTPS/SSH Management, SSL VPN et IPSec VPN Réinitialiser les mots de passe et codes TOTP enregistrés sur les pare-feu Vérifier les journaux pour détecter une activité anormale Un fichier de configuration mis à jour proposé Pour les clients affectés, SonicWall propose un nouveau fichier de préférences à importer sur les pare-feu. Ce fichier comporte : Des mots de passe aléatoires pour chaque utilisateur local Une réinitialisation de l’association TOTP, si elle était activée De nouvelles clés IPSec VPN générées aléatoirement Le fichier modifié provient de la dernière version sauvegardée dans le cloud. SonicWall précise que si cette version ne reflète pas la configuration souhaitée, il est préférable de ne pas l’utiliser. Un contexte de menaces élargies sur les dispositifs SonicWall Des exploits récents liés à la faille CVE-2024-40766 Cette alerte arrive alors que des acteurs malveillants liés au ransomware Akira exploitent activement une faille critique (CVE-2024-40766, score CVSS 9.3) affectant certains dispositifs SonicWall. Cette vulnérabilité, non corrigée dans de nombreuses organisations, offre un point d’entrée aux attaquants dans les réseaux d’entreprise. Une attaque contre Huntress pour contourner la MFA Une autre attaque documentée récemment démontre comment des cybercriminels ont utilisé des fichiers contenant des codes de récupération en clair pour se connecter à la console du fournisseur Huntress. L’accès a permis aux attaquants de désactiver la solution EDR, contournant ainsi l’authentification multifacteur (MFA) et empêchant la détection de l’intrusion. Ce type d’attaque démontre que la protection des identifiants sensibles, même secondaires, est aussi stratégique que la gestion de comptes privilégiés. Pour comprendre toutes les techniques utilisées par les pirates, notre livre pour apprendre à hacker est une véritable référence dans la compréhension des modes opératoires des menaces actuelles. Anticiper les prochaines menaces en renforçant sa posture La brèche dans le cloud SonicWall souligne une fois encore que la sécurité périmétrique ne suffit plus. Face aux attaques évolutives, mieux vaut renforcer en continu la sécurité des équipements réseau, appliquer les correctifs, auditer les configurations, et utiliser des sauvegardes segmentées pour limiter les risques d’accès non autorisé. Chez CyberCare, nous aidons nos clients à prévenir ce type de scénario via une surveillance active, des audits de configuration et des solutions de durcissement de l’infrastructure réseau.
Faille chez SonicWall : le cloud révèle ses vulnérabilités
