أعلنت شركة SonicWall عن اكتشاف نشاط مشبوه استهدف خدمة النسخ الاحتياطي السحابي لإعدادات الجدران النارية على منصتها MySonicWall، وطال الخرق ملفات تفضيلات نسخ احتياطي محفوظة سحابيًا لنسبة تقلّ عن 5% من عملائها، ما دفع الشركة إلى مطالبة المتأثرين بإعادة تعيين بيانات الاعتماد كإجراء وقائي.
ما الذي حدث وما مدى تأثيره
قالت SonicWall إن ملفات التفضيلات التي تم الوصول إليها احتوت على بيانات اعتماد مشفّرة، لكنها شملت أيضًا معلومات قد تُسهّل على المهاجمين استغلال الجدار الناري ذي الصلة. ولا توجد حاليًا دلائل تفيد بأن هذه الملفات نُشرت على الإنترنت، كما أكدت الشركة أن الحادث لم يكن هجوم فداء (ransomware) على شبكتها، بل سلسلة هجمات تخمين عشوائي (brute-force) لاستهداف ملفات التفضيلات المخزنة في النسخ الاحتياطي السحابي. حتى الآن لم يُعلن عن الجهة المسؤولة عن الهجوم.
إجراءات الاستجابة والتوصيات للعملاء
طالبت SonicWall العملاء باتّباع عدد من الخطوات الفورية للتحقق والاحتواء واستعادة الأمان، من بينها:
-
تسجيل الدخول إلى MySonicWall.com للتحقق مما إذا كانت خاصية النسخ الاحتياطي السحابي مفعّلة.
-
التحقق مما إذا كانت الأرقام التسلسلية المتأثرة مُعلّمة داخل الحسابات.
-
بدء إجراءات الاحتواء والتعافي مثل تقييد الوصول من واجهة الشبكة الواسعة (WAN)، إيقاف إدارة HTTP/HTTPS/SSH، تعطيل الوصول إلى SSL VPN وIPSec VPN، إعادة تعيين كلمات المرور وكلمات المرور لمرة واحدة (TOTPs) المخزنة على الجدار الناري، ومراجعة السجلات والتغييرات الأخيرة في الإعدادات لارتكاز أي نشاط غير طبيعي.
كما أوصت SonicWall المستفيدين المتأثرين باستيراد ملف تفضيلات جديد تزوده الشركة، ويشمل هذا الملف تغييرات أمنية مثل: توليد كلمات مرور عشوائية لجميع المستخدمين المحليين، إعادة ربط TOTP إذا كان مفعّلًا، وتوليد مفاتيح IPSec VPN عشوائية. ونوّهت الشركة إلى أن الملف المعدّل مستنبط من آخر ملف تفضيلات وُجد في التخزين السحابي، فإذا لم يمثل هذا الملف الإعدادات التي يرغب بها العميل فلا ينبغي استخدامه.
سياق الهجوم وروابط مع تهديدات معروفة
جاء الكشف بينما يستمرّ ممثلو مجموعة فدية معروفة باسم Akira في استهداف أجهزة SonicWall غير المصحّحة بهدف الحصول على الوصول الأولي عبر استغلال ثغرة سِنَت عامًا (CVE-2024-40766، درجة CVSS: 9.3). كما وثّقت شركة الأمن Huntress حادثة استغلال لاستغلال أجهزة VPN تابعة لشركة SonicWall حيث استخدم المهاجمون ملفًا نصيًا عاديًا يحتوي على رموز استرداد (recovery codes) لخدمة Huntress لتجاوز المصادقة متعددة العوامل، وإخفاء التنبيهات النشطة، ومحاولة إزالة عملاء EDR، ما أتاح للمهاجمين القدرة على تعطيل أدوات الكشف والاستجابة.
حذّر باحثا Huntress، مايكل إلفورد وتشاد هدسون، من معاملة رموز الاسترداد بنفس حساسية كلمات مرور الحسابات المميزة، نظرًا لأنها قد تُستغل لتمكين هجمات تالية تشمل إعاقة الرصد وإزالة الحماية.
