SonicWall SSLVPN-accounts zijn het doelwit van een grootschalige aanval, zo meldt securitybedrijf Huntress. Volgens het bedrijf hebben aanvallers al meer dan honderd accounts gecompromitteerd. De snelheid van de aanvallen laat daarbij zien dat de aanvallers over geldige inloggegevens beschikken, in plaats van dat er sprake is van bruteforce-aanvallen. SonicWall biedt firewalls die ook vpn-functionaliteit bieden.

Huntress stelt dat bij sommige van de getroffen organisaties de aanvaller geen verdere activiteit uitvoerde. Bij andere organisaties gebeurde dat wel, en vonden er netwerkscans plaats en werd geprobeerd om toegang tot lokale Windows-accounts te krijgen. Hoe aanvallers toegang tot de vpn-accounts konden krijgen is onbekend. SonicWall meldde vorige week dat de versleutelde firewallconfiguraties van alle klanten zijn gestolen die deze informatie in de cloud hadden geback-upt. Huntress geeft aan dat het geen bewijs heeft gezien dat de twee incidenten met elkaar verband houden.

Vanwege de aanvallen worden SonicWall-klanten geadviseerd om WAN management en remote access waar mogelijk te beperken. Tevens moeten HTTP, HTTPS, SSH, SSL VPN en inbound management worden uitgeschakeld of beperkt totdat alle inloggegevens zijn gereset. Verder moeten organisaties alle secrets en keys op getroffen SonicWall-apparaten nu wijzigen, aldus het securitybedrijf.