O barulho criado em torno do ataque à SonicWall é proporcional ao seu tamanho no mercado. Basta lembrar que há 5 anos a empresa foi comprada por nada menos que US$ 2 bilhões. Assim, o ocorrido vem ganhando proporções gigantescas.

Tudo começou na última sexta-feira, quando a SonicWall divulgou que foi vítima de uma violação coordenada em seus sistemas internos. Com sede na Califórnia, a multinacional revelou que os ataques alavancaram vulnerabilidades de dia zero em produtos de acesso remoto, como o cliente VPN NetExtender versão 10.xe Secure Mobile Access (SMA), que são usados para fornecer aos usuários acesso remoto a recursos internos.

O comunicado veio a público depois que surgiram relatos de que os sistemas internos da SonicWall caíram no início da semana passada, e que o código-fonte hospedado no repositório GitLab da empresa foi acessado pelos invasores.

Agora, a SonicWall informa que fornecerá atualizações adicionais à medida que mais informações forem disponibilizadas. A lista completa de produtos afetados inclui:

– Cliente VPN NetExtender versão 10.x (lançado em 2020) utilizado para conectar dispositivos da série SMA 100 e firewalls SonicWall

– Secure Mobile Access (SMA) versão 10.x em execução nos dispositivos físicos SMA 200, SMA 210, SMA 400, SMA 410 e no dispositivo virtual SMA 500v

A empresa ressalta que a série SMA 1000 não é suscetível ao ataque de dia zero, e que utiliza clientes diferentes do NetExtender.

Um outro comunicado pedia aos clientes para habilitar a autenticação multifatorial, desabilitar o acesso do NetExtender ao firewall, restringir o acesso a usuários e administradores para endereços IP públicos e configurar o acesso à lista de permissões no SMA diretamente – tudo para amenizar as falhas.

Efeito dominó

Tal acontecimento ganha proporções ainda maiores levando-se em consideração o contexto atual de crimes virtuais. Várias empresas de cibersegurança – como FireEye, Microsoft e Malwarebytes – foram alvos de ataques cibernéticos após o crack da cadeia de suprimentos da SolarWinds (veja mais abaixo). Assim, a violação sofrida pela SonicWall revela preocupações significativas.

“Estando na linha de frente da defesa cibernética, vimos um grande aumento de ataques cibernéticos contra governos e empresas, especificamente em companhias que fornecem infraestrutura crítica e controles de segurança para essas organizações”, disse a SonicWall.

Gigantes na mira

Especializada em softwares de gestão, a SolarWinds sofreu um ataque descoberto em dezembro de 2020 – e que afetou 18 mil empresas, incluindo órgãos do governo dos Estados Unidos. Investigações preliminares apontam que a invasão ocorreu principalmente por meio da implantação de um cavalo de troia em uma das atualizações da plataforma Orion, peça central das soluções de gerenciamento de TI da SolarWinds.

A situação é tão séria que foi criada uma força-tarefa para investigar o assunto. A iniciativa chama-se Cyber Unified Coordination Group (UCG), formada por órgãos como FBI, NSA e CISA (Agência Governamental de Cibersegurança dos EUA), e já informou que ao menos dez agências governamentais americanas sofreram algum tipo de ação maliciosa após o ataque inicial – como o Departamento de Estado e o Departamento do Tesouro dos Estados Unidos.

É crescente o medo de que se forme um contexto no qual os cibercriminosos estejam em uma vantagem relevante. Restaurar sistemas tão críticos levaria dias, e enfraqueceria infraestruturas gigantescas – com impactos na logística e na economia de países inteiros. Assim, a situação reforça a importância da segurança digital nos mais diferentes níveis e tamanhos de empresas – demandando investimentos em equipamentos, sistemas e treinamento de funcionários. Afinal, a situação mostra que o fator humano continua imprescindível na segurança digital.

Origem: OSTEC Blog