A empresa SonicWall, especializada na fabricação de equipamentos de controle e segurança de redes, comunicou na madrugada de ontem (01:15 do dia 23 de janeiro, horário de Brasília) ter sofrido uma intrusão em sua rede e servidores. O comunicado da empresa informa que “a SonicWall identificou um ataque coordenado em seus sistemas internos por agentes de ameaças altamente sofisticados, que exploravam prováveis vulnerabilidades de zero day em determinados produtos de acesso remoto seguro da SonicWall”.
Na última quarta-feira, dia 20 de janeiro, a redação do portal Bleeping Computer recebeu um email de uma pessoa que não se identificou, dizendo ter “informações sobre a invasão de um fornecedor muito conhecido de firewalls e de outros produtos de segurança”, acrescentando que a empresa nada havia comentado sobre o assunto nem informado a seus clientes que estava sob ataque devido à presença de vários zero days em seus equipamentos. O Bleeping Computer não conseguiu respostas do remetente para confirmar se a mpresa mencionada era a SonicWall.
Veja isso
Cerca de 800 mil VPNs SonicWall precisam de correção de falha crítica
Brasil: 2.280 VPNs vulneráveis estão expondo suas redes
Numa atualização de seu comunicado publicada na madrugada de hoje, a empresa informou três linhas de produtos que não foram afetadas:
- SonicWall Firewalls: nenhuma das gerações de firewalls SonicWall é afetada pela vulnerabilidade que afeta a linha SMA 100. Não há necessidade de nenhuma ação por parte dos clientes ou parceiros afirma a empresa;
- Cliente VPN NetExtender: anteriormente o NetExtender 10.X entrou na lista dos produtos atingidos, potencialmente tendo um zero day, mas no último comunicado a possibilidade foi descartada. A empresa avisou que ele pode ser usado com todos os produtos SonicWall, não sendo necessária nenhuma ação de clientes ou parceiros.
- SMA 1000 Series: essa linha de produtos também não é afetada no incidente, diz a SonicWall, afirmando ainda que os clientes podem usar a com segurança a série SMA 1000. Nenhuma ação é necessária de clientes ou parceiros.
No comunicado inicial, a empresa informou que os produtos impactados e que poderiam conter um zero day eram os seguintes:
- Cliente VPN NetExtender versão 10.x (lançado em 2020) utilizado para conectar dispositivos da série SMA 100 e firewalls SonicWall
- Secure Mobile Access (SMA) versão 10.x. em execução nos dispositivos físicos SMA 200, SMA 210, SMA 400, SMA 410 e no dispositivo virtual SMA 500v
O cliente VPN NetExtender e a série SMA 100 orientada para SMB, explicava o comunicado, são utilizados para fornecer acesso remoto a recursos internos. A série SMA 1000 não está suscetível a essa vulnerabilidade e utiliza clientes diferentes do NetExtender.
O alerta da SonicWall dizia ainda que as organizações utilizando dispositivos da série SMA 100 ou com NetExtender 10.x têm no momento as seguintes opções de defesa:
Para Série SMA 100
- Usar um firewall que permita conexões SSL-VPN ao dispositivo SMA apenas de IPs conhecidos ou permitidos
- Ou configure o acesso à lista de permissões diretamente no SMA
Para firewalls com acesso de SSL-VPN via Nextender VPN Client versão 10.x
- Desativar o acesso do NetExtender ao(s) firewall(s) ou restringir o acesso a usuários e administradores por meio de uma lista de permissões / whitelist dos IPs públicos
A SonicWall destaca em letras maiúsculas no comunicado que os clientes devem adotar autenticação multifatorial em todas as contas SonicWall SMA, firewall e MySonicWall.
Com agências internacionais