Maker van netwerkapparatuur SonicWall heeft een dringende beveiligingswaarschuwing naar zijn klanten uitgestuurd om ze op de hoogte te brengen van een ‘dreigende ransomware campagne’ die zich richt op SonicWall-apparatuur.
De aanvallers richten zich op een oude kwetsbaarheid die is opgelost in de nieuwste versies van de firmware die SonicWall heeft uitgebracht. Daarom dringt het bedrijf erop aan dat kanten de firmware van hun apparaten zo snel mogelijk moeten updaten, als ze nog met een oudere versie werken.
Sommige gebruikers zijn niet in staat om hun firmware te updaten. SonicWall raadt deze gebruikers aan om hun apparaten per direct los te koppelen van het internet en de toegangswachtwoorden te resetten. Ook is het verstandig om multifactorauthenticatie in te schakelen.
Voor een aantal oudere legacy SRA-toestellen van SonicWall worden al een tijd geen nieuwe updates uitgebracht. De toestellen hebben het einde van hun levenscyclus bereikt. Het blijven gebruiken van deze toestellen kan leiden tot een besmetting met ransomware, waarschuwt SonicWall.
Aanbevelingen van SonicWall op een rijtje
De acties die nodig zijn om jezelf te beschermen tegen de ransomware campagne, zijn afhankelijk van het type product en hoe oud het product is. Zo doet SonicWall de volgende aanbevelingen voor zijn apparatuur:
SRA 4600/1600 (EOL 2019); SRA 4200/1200 (EOL 2016); SSL-VPN 200/2000/400 (EOL 2013/2014)
- Koppel meteen los van het internet
- Reset wachtwoorden
SMA 400/200 (nog ondersteund, maar beperkt)
- Update meteen naar 10.2.0.7-34 of 9.0.0.10
- Reset wachtwoorden
- Stel multifactorauthenticatie in
SonicWall doelwit van meerdere aanvallen in 2021
Naast de dreigende ransomware campagne waar SonicWall zijn gebruikers deze week voor waarschuwt, kreeg het bedrijf dit jaar al te maken met veel meer aanvallen.
Eind januari 2021 maakte SonicWall bekend dat het bedrijf zelf gehackt was via een zero day in zijn Secure Mobile Access (SMA) gateways. Een week later ontdekte beveiligingsbedrijf NCC Group dat kwaadwillenden een mysterieuze SonicWall zero day in de SMA-apparaten misbruikte. Kort daarna kwam er een patch uit voor het zero day-lek. Destijds kon SonicWall er geen uitsluitsel over geven of het in beide gevallen om dezelfde zero days ging.
In april ontdekte FireEye dat een hackgroep misbruik maakte van drie SonicWall zero days om in te breken in bedrijfsnetwerken.
In juni waarschuwde Crowdstrike dat ransomwarebendes een manier hadden gevonden om patches voor CVE-2019-7481 te omzeilen. Ze maakten gebruik van de zero day om in te breken in bedrijfsnetwerken en ransomware als Darkside, FiveHands en HelloKitty te installeren.
De beveiligingswaarschuwing die SonicWall deze week uitstuurde naar al zijn klanten gaat over deze laatste aanval. De ransomware gang is nog altijd actief, waardoor het voor SonicWall-gebruikers essentieel is om hun firmware te patchen.