Hakerzy włamali się do klienta SonicWall NetExtender VPN, używanego w rozwiązaniach do zdalnego dostępu do zasobów firmowych – wynikało z pierwszych informacji dotyczących zagrożenia. Prawdopodobnie wykorzystano lukę zero-day. Dostawca zabezpieczeń określa cyberprzestępców jako „wysoce wyrafinowanych”.

Zagrożenie okazało się jednak mniejsze niż, początkowo się wydawało. Nextdender nadal może być używany ze wszystkimi produktami SonicWall – ustaliła firma.

Według nowych ustaleń SonicWalla klienci serii Secure Mobile Access 100 mogą nadal używać NetExtender do zdalnego dostępu z serią SMA 100. „Ustaliliśmy, że ten przypadek użycia nie jest podatny na wykorzystanie” – stwierdza firma. Uspokaja też, że seria Secure Mobile Access 1000 nie jest podatna na to zagrożenie.

Obecnie tylko narzędzie Secure Mobile Access (SMA) serii 100 jest nadal badane pod kątem luki w zabezpieczeniach.

Firma nie ujawniła, czy za atakiem może stać ta sama grupa, która umieściła złośliwe oprogramowanie w narzędziu do monitorowania sieci SolarWinds Orion.

Sonicwall rekomenduje swoim partnerom i klientom włączenie uwierzytelniania wieloskładnikowego na wszystkich kontach SonicWall SMA, firewall i MySonicWall.

Szturm hakerów

Jednocześnie SonicWall ostrzega, że odnotował „dramatyczny wzrost” cyberataków na podmioty, które zapewniają infrastrukturę krytyczną i kontrolę bezpieczeństwa rządom i firmom.

M.in. w styczniu Mimecast poinformował, że został złamał jego certyfikat, używany do uwierzytelniania kilku produktów w usłudze Microsoft 365 Exchange.

CrowdStrike ujawnił w końcu grudnia, że Microsoft wiele miesięcy temu odnotował podejrzaną aktywność z konta resellera Microsoft Azure.​ Konto było używane do zarządzania licencjami Microsoft Office CrowdStrike.

Więcej informacji i szczegółowe zalecenia dla partnerów i klientów znajdują się na stronie SonicWall.