SonicWall, cùng với công ty ứng phó sự cố hàng đầu Mandiant, đã hoàn tất quá trình đánh giá toàn diện về một sự cố bảo mật SonicWall gần đây liên quan đến tính năng sao lưu đám mây. Cuộc điều tra đã xác nhận rằng một bên không xác định đã truy cập vào tất cả các tệp sao lưu cấu hình tường lửa của khách hàng sử dụng tính năng sao lưu đám mây MySonicWall. Đây là một trường hợp nghiêm trọng có thể dẫn đến rò rỉ dữ liệu nhạy cảm.

Phân tích Sự cố và Tác động

Các tệp bị truy cập chứa các cài đặt cấu hình được mã hóa và thông tin đăng nhập được mã hóa. Mặc dù bản thân thông tin đăng nhập vẫn được bảo vệ bởi mã hóa AES-256, việc kẻ đe dọa sở hữu các tệp này có thể hỗ trợ tạo ra các cuộc tấn công có mục tiêu cao chống lại các mạng bị ảnh hưởng.

Sự cố bảo mật SonicWall này tiềm ẩn nguy cơ lớn, cho phép kẻ tấn công hiểu rõ hơn về kiến trúc mạng và thông tin xác thực để vượt qua các biện pháp phòng thủ.

Đánh giá Mức độ Ảnh hưởng

SonicWall đã cập nhật danh sách đầy đủ và toàn diện các thiết bị bị ảnh hưởng trong cổng MySonicWall. Khách hàng có thể tìm thấy các danh sách này dưới mục Product Management > Issue List. Mỗi mục thiết bị hiện hiển thị phân loại mức độ ưu tiên ảnh hưởng:

• Active-High Priority: Đối với các đơn vị hướng ra internet.
• Active-Lower Priority: Đối với các đơn vị không hướng ra internet.
• Inactive: Đối với các thiết bị không kiểm tra trong hơn 90 ngày.

SonicWall đang chủ động thông báo cho tất cả các đối tác và khách hàng bị ảnh hưởng, đồng thời cung cấp các công cụ để giúp đánh giá và khắc phục các thiết bị bị lộ. Đây là bước quan trọng trong việc ứng phó với sự cố bảo mật SonicWall.

Biện pháp Khắc phục và Bảo vệ Hệ thống

Tất cả các đối tác và khách hàng của SonicWall được khuyến nghị đăng nhập vào tài khoản MySonicWall.com ngay lập tức để xác minh xem có bất kỳ bản sao lưu đám mây nào tồn tại cho tường lửa đã đăng ký của họ hay không. Nếu các trường sao lưu trống, khách hàng có thể yên tâm rằng thiết bị của họ không gặp rủi ro.

Nếu chi tiết sao lưu hiện có, khách hàng nên thực hiện các biện pháp khắc phục sau:

• Thay đổi tất cả thông tin đăng nhập quản trị (admin credentials) trên tường lửa.
• Thay đổi thông tin đăng nhập cho bất kỳ dịch vụ hoặc tài khoản nào được quản lý bởi tường lửa SonicWall (ví dụ: VPN, xác thực RADIUS/LDAP, quản trị mạng).
• Xem xét các tệp cấu hình để tìm bất kỳ cài đặt bất thường hoặc không mong muốn nào.

Khách hàng được hướng dẫn tới hướng dẫn Essential Credential Reset của SonicWall để biết các bước ngăn chặn và khắc phục. Một Remediation Playbook chi tiết cũng có sẵn để hướng dẫn các quy trình khôi phục. Công cụ trực tuyến của SonicWall để phân tích cấu hình tường lửa có thể xác định các dịch vụ cụ thể yêu cầu đặt lại thông tin đăng nhập. Để biết thêm thông tin chi tiết, bạn có thể tham khảo thông báo từ SonicWall.

Cấu trúc và Bảo mật của Tệp Sao lưu

Các tệp sao lưu cấu hình sử dụng phần mở rộng .EXP và chứa một bản sao đầy đủ các cài đặt của tường lửa. Các tệp .EXP được xuất cục bộ chỉ được mã hóa, với thông tin đăng nhập được mã hóa trên các mẫu SonicWall hiện đại.

Các tệp sao lưu đám mây nhận một lớp mã hóa toàn bộ tệp và nén bổ sung trước khi lưu trữ. Khi người dùng tải xuống bản sao lưu đám mây từ MySonicWall, hệ thống sẽ giải mã tệp và gửi nó qua HTTPS ở trạng thái được mã hóa, bảo toàn mã hóa thông tin đăng nhập. Điều này cho thấy tính nghiêm trọng của sự cố bảo mật SonicWall này khi các tệp này đã bị truy cập trái phép.

Hành động của SonicWall

Để tăng cường khả năng phòng thủ, SonicWall đã triển khai các biện pháp tăng cường bảo mật bổ sung trên toàn bộ cơ sở hạ tầng đám mây và hệ thống giám sát của mình. Công ty tiếp tục hợp tác với Mandiant để nâng cao các biện pháp kiểm soát phát hiện và ngăn chặn truy cập trái phép trong tương lai, nhằm đảm bảo an toàn thông tin cho khách hàng.

Hỗ trợ Khách hàng

Khách hàng có câu hỏi hoặc yêu cầu hỗ trợ nên mở một trường hợp hỗ trợ qua cổng MySonicWall. SonicWall sẽ cung cấp hướng dẫn thêm cho các khách hàng có trường sao lưu hoặc số sê-ri không xuất hiện trong Danh sách Vấn đề hiện tại, đảm bảo mỗi người dùng nhận được hướng dẫn rõ ràng về cách xác minh rủi ro và ứng phó với khả năng bị lộ thông tin sau sự cố bảo mật SonicWall này.