Hackers estão explorando falhas em dispositivos da SonicWall

Uma vulnerabilidade grave foi detectada em dispositivos de rede da fabricante SonicWall e, de acordo com os detalhes preliminares divulgados pela marca, vem sendo utilizada em ataques de alta sofisticação contra clientes corporativos. A notícia veio nesta segunda (1º), enquanto a brecha segue aberta, com previsão de atualização apenas para o final da tarde desta terça-feira (2).

• Dados de 40 mil brasileiros já circulam na internet após megavazamento
• Operação da Europol derruba Emotet, a botnet mais odiada da última década
• Clonagem de WhatsApp: 5 milhões de brasileiros foram vítimas em 2020

A falha zeroday, daquelas que eram desconhecidas até mesmo aos responsáveis da SonicWall até serem reveladas no final da última semana, levou ao que a empresa chamou de “uso indiscriminado” e “ataques coordenados”. A vulnerabilidade está no firmware 10.x dos aparelhos, o mais recente disponível, mas não atinge firewalls, aplicações e clientes de VPN fornecidos pelos aparelhos.

Os detalhes sobre a exploração, entretanto, não foram divulgados justamente pelo fato de ela ainda estar ativa. Para resolver o problema, a SonicWall trabalha ao lado de especialistas de segurança como os do NCC Group, que revelaram serem os descobridores da falha, compartilhada com a fabricante de soluções de infraestrutura para que fosse investigada mais a fundo e solucionada antes de causar mais danos aos clientes.

Originalmente, a SonicWall não havia confirmado a existência da falha, com as primeiras notas oficiais divulgadas na última semana apontando para o uso de credenciais roubadas previamente e para acesso indevido aos gateways. Ainda assim, desde o início das suspeitas, a recomendação da fabricante envolvia a ativação de sistemas de autenticação em múltiplas etapas, assim como um controle da rede para detectar rapidamente eventuais intrusões ou acessos indevidos.

Após a análise de provas de conceito disponíveis online e, principalmente, do relatório submetido pelo NCC Group, a fabricante confirmou a existência da falha, que atinge tanto dispositivos físicos quanto virtuais. Enquanto o problema não é resolvido, a indicação da SonicWall é para que os clientes interrompam a utilização dos gateways de acesso remoto, que devem ser desligados ou, pelo menos, configurados com regras de firewall que impeçam conexões externas de acessarem seus sistemas internos.

Caso o uso seja indispensável, entretanto, a dica é resetar o aparelho para as configurações de fábrica e garantir que ele esteja de volta ao firmware 9.x — um downgrade mantendo as configurações ainda representa risco e não é uma opção aos usuários. Além disso, a recomendação é que, em todos os casos, recursos de autenticação multifator sejam aplicados para garantir melhor segurança no acesso à rede.

Fonte: SonicWall