AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Robo masivo de copias de seguridad de configuraciones de firewall en la nube de SonicWall afecta a todos los usuarios**

admin

### 1. Introducción

A comienzos de septiembre de 2024, SonicWall, uno de los fabricantes más reconocidos de soluciones de seguridad perimetral y gestión de firewalls, ha confirmado la filtración masiva de copias de seguridad de configuraciones de firewall alojadas en su plataforma en la nube, MySonicWall. Este incidente, que afecta a la totalidad de los usuarios que utilizaban el servicio de backup cloud, pone en jaque la confidencialidad y seguridad de miles de infraestructuras empresariales en todo el mundo. El presente análisis desglosa los detalles técnicos, riesgos, y las implicaciones de este incidente para la comunidad profesional de ciberseguridad.

### 2. Contexto del Incidente

El incidente fue detectado tras la aparición en foros clandestinos de cibercriminalidad de múltiples archivos de configuración pertenecientes a dispositivos SonicWall, acompañados de pruebas que evidenciaban su origen en los backups alojados en MySonicWall. Según ha confirmado la compañía, los atacantes lograron acceder y exfiltrar los archivos de configuración de todos los firewalls cuyos backups estaban almacenados en la nube de SonicWall, abarcando tanto appliances físicos como virtuales, y afectando potencialmente a versiones de SonicOS desde la 6.x hasta la 7.x, incluyendo las líneas TZ, NSA, NSv y SuperMassive.

El uso de servicios de backup cloud es una práctica ampliamente extendida en entornos corporativos, especialmente para garantizar la rápida recuperación ante desastres y la gestión centralizada de configuraciones. Sin embargo, la exposición de estos archivos implica una amenaza crítica, ya que contienen información sensible sobre la arquitectura de red, reglas de acceso, credenciales y políticas de seguridad.

### 3. Detalles Técnicos

Hasta el momento, no se ha asignado un CVE específico al incidente, aunque la naturaleza del ataque sugiere una explotación de credenciales o de una vulnerabilidad de acceso no autorizado en la plataforma cloud de MySonicWall. Los TTPs observados se alinean con técnicas documentadas en el marco MITRE ATT&CK, particularmente:

– **Initial Access (TA0001):** Uso de credenciales comprometidas (T1078) o explotación de interfaces API expuestas (T1136).
– **Collection (TA0009):** Exfiltración de archivos de configuración y credenciales (T1005).
– **Exfiltration (TA0010):** Uso de canales cifrados para la extracción masiva de archivos (T1041).

Los archivos de configuración sustraídos suelen incluir:
– Topologías de red y direcciones IP internas/externas
– Listados completos de reglas de firewall (acls)
– Políticas de VPN y túneles configurados
– Usuarios, roles y en ocasiones hashes de contraseñas o API keys
– Logs de eventos recientes

En foros underground, se han detectado scripts de parsing automatizado para extraer credenciales y rutas críticas de estos backups, facilitando el movimiento lateral y la explotación de activos internos.

No se ha reportado, de momento, la existencia de exploits públicos para la plataforma MySonicWall, pero se ha observado la utilización de frameworks como Metasploit y Cobalt Strike para la explotación posterior de las redes afectadas, una vez analizados los archivos filtrados.

### 4. Impacto y Riesgos

El alcance es global y afecta a potencialmente el 100% de los clientes que utilizaban la función de backup cloud de SonicWall, incluyendo grandes corporaciones, entidades gubernamentales y pymes.

Los principales riesgos identificados son:
– **Reconocimiento y ataque dirigido:** La exposición de la topología y reglas facilita la planificación de ataques altamente dirigidos.
– **Compromiso de credenciales:** En muchos casos, los backups incluyen contraseñas o hashes de cuentas privilegiadas.
– **Bypass de controles de seguridad:** Con acceso a las reglas de firewall, los atacantes pueden diseñar payloads específicos o identificar puertos y servicios expuestos.
– **Incumplimiento normativo:** Organizaciones sujetas a GDPR, NIS2 o normativas sectoriales pueden enfrentar sanciones por la exposición de datos críticos.

El coste económico potencial es elevado, considerando gastos en respuesta a incidentes, auditorías, revisiones de seguridad y posibles sanciones regulatorias.

### 5. Medidas de Mitigación y Recomendaciones

SonicWall ha recomendado a todos los clientes de MySonicWall:
– Cambiar inmediatamente todas las credenciales y claves almacenadas en los archivos de configuración.
– Auditar y revisar exhaustivamente las reglas y políticas de firewall.
– Restablecer VPNs y claves precompartidas.
– Analizar los logs de acceso y actividad en busca de movimientos sospechosos desde la fecha del incidente.
– Habilitar doble factor de autenticación en MySonicWall y otros portales de gestión.
– Implementar controles de acceso basados en roles (RBAC) y monitorizar el tráfico de administración.
– Considerar la migración a soluciones de backup locales cifradas, especialmente para infraestructuras críticas.

### 6. Opinión de Expertos

Varios expertos en ciberseguridad, como miembros de la comunidad SANS y analistas de Mandiant, han calificado el incidente como uno de los más graves en la historia reciente de la gestión de firewalls, subrayando la importancia de aplicar el principio de mínimo privilegio y de evitar el almacenamiento de información sensible en sistemas cloud sin cifrado de extremo a extremo. Además, advierten de que este tipo de ataques pueden marcar tendencia, incrementando el interés de los grupos APT en plataformas SaaS de gestión centralizada.

### 7. Implicaciones para Empresas y Usuarios

Las empresas afectadas deben prepararse para una oleada de ataques dirigidos, phishing selectivo y campañas de ingeniería social basadas en datos internos filtrados. Además, la exposición de la configuración de red puede facilitar el bypass de controles y la persistencia de actores maliciosos en la infraestructura.

Para los CISOs, este incidente representa un claro llamamiento a revisar las estrategias de backup cloud, exigir cifrado robusto y limitar la exposición innecesaria de información crítica en servicios de terceros. La respuesta temprana y la comunicación transparente con clientes y partners serán esenciales para mitigar daños reputacionales y legales.

### 8. Conclusiones

El robo masivo de copias de seguridad de configuraciones de firewall en la nube de SonicWall evidencia la urgencia de reforzar la seguridad en servicios cloud y el manejo de información sensible. La correcta gestión de backups, el control de accesos y la respuesta rápida ante incidentes son pilares fundamentales para proteger las infraestructuras empresariales frente a amenazas cada vez más sofisticadas.

(Fuente: www.securityweek.com)