MySonicWall

Selon Huntress (blog), une compromission étendue de dispositifs SonicWall SSLVPN a touché plus de 100 comptes répartis sur 16 environnements clients, avec des connexions malveillantes observées à partir du 4 octobre. L’enquête met en évidence l’usage d’identifiants valides plutôt que du bruteforce, et une origine récurrente des connexions depuis l’adresse IP 202.155.8[.]73. 🚨 Sur le plan technique, les attaquants ont procédé à des authentifications rapides sur de multiples comptes, particulièrement entre les 4 et 6 octobre. Les sessions présentaient des comportements post-exploitation variables : certaines se déconnectaient rapidement, tandis que d’autres évoluaient vers du scan réseau et des tentatives d’accès à des comptes Windows locaux. ...

Source: Arctic Wolf — SonicWall a conclu son enquête sur l’exposition de fichiers de sauvegarde de configuration stockés dans les comptes MySonicWall, confirmant que tous les clients utilisant la sauvegarde cloud sont affectés. L’incident est critique car ces fichiers contiennent des identifiants sensibles historiquement exploités par des groupes étatiques et des rançongiciels. • Impact et nature de l’exposition: Les sauvegardes de configuration de pare-feu exposées incluent des informations sensibles telles que les paramètres d’utilisateurs/groupes/domaines, la configuration DNS, des certificats et des identifiants. Les acteurs malveillants peuvent viser ces données pour un accès non autorisé aux environnements protégés. 🚨 ...