Abyss Risco Abismo

SonicWall comunica invasão e alerta mercado sobre risco imediato

Da Redação
24/01/2021

A empresa SonicWall, especializada na fabricação de equipamentos de controle e segurança de redes, comunicou na madrugada de ontem (01:15 do dia 23 de janeiro, horário de Brasília) ter sofrido uma intrusão em sua rede e servidores. O comunicado da empresa informa que “a SonicWall identificou um ataque coordenado em seus sistemas internos por agentes de ameaças altamente sofisticados, que exploravam prováveis ​​vulnerabilidades de zero day em determinados produtos de acesso remoto seguro da SonicWall”.

Na última quarta-feira, dia 20 de janeiro, a redação do portal Bleeping Computer recebeu um email de uma pessoa que não se identificou, dizendo ter “informações sobre a invasão de um fornecedor muito conhecido de firewalls e de outros produtos de segurança”, acrescentando que a empresa nada havia comentado sobre o assunto nem informado a seus clientes que estava sob ataque devido à presença de vários zero days em seus equipamentos. O Bleeping Computer não conseguiu respostas do remetente para confirmar se a mpresa mencionada era a SonicWall.

Veja isso
Cerca de 800 mil VPNs SonicWall precisam de correção de falha crítica
Brasil: 2.280 VPNs vulneráveis estão expondo suas redes

Numa atualização de seu comunicado publicada na madrugada de hoje, a empresa informou três linhas de produtos que não foram afetadas:

  1. SonicWall Firewalls: nenhuma das gerações de firewalls SonicWall é afetada pela vulnerabilidade que afeta a linha SMA 100. Não há necessidade de nenhuma ação por parte dos clientes ou parceiros afirma a empresa;
  2. Cliente VPN NetExtender: anteriormente o NetExtender 10.X entrou na lista dos produtos atingidos, potencialmente tendo um zero day, mas no último comunicado a possibilidade foi descartada. A empresa avisou que ele pode ser usado com todos os produtos SonicWall, não sendo necessária nenhuma ação de clientes ou parceiros.
  3. SMA 1000 Series: essa linha de produtos também não é afetada no incidente, diz a SonicWall, afirmando ainda que os clientes podem usar a com segurança a série SMA 1000. Nenhuma ação é necessária de clientes ou parceiros.

No comunicado inicial, a empresa informou que os produtos impactados e que poderiam conter um zero day eram os seguintes:

  • Cliente VPN NetExtender versão 10.x (lançado em 2020) utilizado para conectar dispositivos da série SMA 100 e firewalls SonicWall
  • Secure Mobile Access (SMA) versão 10.x. em execução nos dispositivos físicos SMA 200, SMA 210, SMA 400, SMA 410 e no dispositivo virtual SMA 500v

O cliente VPN NetExtender e a série SMA 100 orientada para SMB, explicava o comunicado, são utilizados ​​para fornecer acesso remoto a recursos internos. A série SMA 1000 não está suscetível a essa vulnerabilidade e utiliza clientes diferentes do NetExtender.

O alerta da SonicWall dizia ainda que as organizações utilizando dispositivos da série SMA 100 ou com NetExtender 10.x têm no momento as seguintes opções de defesa:

Para Série SMA 100

  • Usar um firewall que permita conexões SSL-VPN ao dispositivo SMA apenas de IPs conhecidos ou permitidos
  • Ou configure o acesso à lista de permissões diretamente no SMA

Para firewalls com acesso de SSL-VPN via Nextender VPN Client versão 10.x

  • Desativar o acesso do NetExtender ao(s) firewall(s) ou restringir o acesso a usuários e administradores por meio de uma lista de permissões / whitelist dos IPs públicos

A SonicWall destaca em letras maiúsculas no comunicado que os clientes devem adotar autenticação multifatorial em todas as contas SonicWall SMA, firewall e MySonicWall.

Com agências internacionais

Compartilhar: