Stormshield rivela la violazione dei dati e il furto del codice sorgente
L’azienda francese di cyber security Stormshield, uno dei principali fornitori di servizi di sicurezza e dispositivi di sicurezza di rete per il governo francese, ha affermato che un attore di minacce ha avuto accesso a uno dei suoi portali di assistenza clienti e ha rubato informazioni su alcuni dei suoi clienti.
StormShield sviluppa dispositivi firewall UTM (Unified Threat Management), soluzioni per la protezione degli end-point e soluzioni per la gestione sicura dei file.
La società ha segnalato inoltre che gli aggressori sono riusciti a rubare parti del codice sorgente per il firewall Stormshield Network Security (SNS), un prodotto certificato per essere utilizzato in reti governative francesi sensibili, come parte dell’intrusione.
La società ha dichiarato che sta indagando sull’incidente con l’agenzia francese di sicurezza informatica ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), che sta attualmente valutando l’impatto della violazione sui sistemi governativi.
La violazione ha toccato il loro portale tecnico utilizzato come sistema di ticket di supporto era stato violato e potrebbe aver consentito agli autori delle minacce di rivedere gli scambi tecnici.
“Ulteriori indagini nel contesto di questo incidente hanno rivelato la fuga di alcune parti del codice sorgente di SNS (Stormshield Network Security). Anche queste informazioni sono state comunicate ai nostri clienti”, ha avvertito StormShield ai suoi clienti.
Poiché il firmware Stormshield Network Security (SNS) alimenta i firewall UTM dell’azienda, la fuga del codice sorgente dell’azienda potrebbe rendere più facile per gli autori delle minacce trovare bug che gli aggressori possono utilizzare per sfruttare i dispositivi. Questa perdita è particolarmente preoccupante in quanto i dispositivi StormShield SNS sono comunemente utilizzati dal governo francese, dalle agenzie di difesa e dal mercato europeo delle PMI.
Per sicurezza, StormShield prevede di modificare il certificato di firma del codice utilizzato per garantire l’integrità delle versioni e degli aggiornamenti del firmware SNS (Stormshield Network Security).
Dopo essere stata informata dell’attacco, ANSSI ha rilasciato un avviso di sicurezza in cui afferma di aver “deciso di porre sotto osservazione le qualifiche e le approvazioni dei prodotti SNS e SNI”.
L’incidente di Stormshield è attualmente trattato come una grave violazione della sicurezza all’interno del governo francese. Nel proprio comunicato stampa, i funzionari dell’ANSSI hanno affermato di aver messo “sotto osservazione” i prodotti Stormshield SNS e SNI per tutta la durata delle indagini.
Ma oltre a rivedere il codice sorgente di SNS, Stormshield ha affermato di aver intrapreso anche altre misure per prevenire altre forme di attacchi, nel caso in cui gli intrusi avessero accesso ad altre parti della sua infrastruttura.
La società francese ha affermato di aver sostituito anche i certificati digitali che utilizzavano prima dell’incidente per firmare gli aggiornamenti del software SNS.
“Sono stati resi disponibili nuovi aggiornamenti a clienti e partner in modo che i loro prodotti possano funzionare con questo nuovo certificato”, ha affermato la società.
Inoltre, l’azienda di sicurezza francese ha affermato di aver reimpostato anche le password per il suo portale di supporto tecnico, che gli aggressori hanno violato, e il portale dello Stormshield Institute, utilizzato per i corsi di formazione dei clienti, che non è stato violato, ma la società ha deciso di reimpostare le password come prevenzione misurare.
Sulla base dei risultati della sua attuale indagine, Stormshield ha affermato che gli intrusi sembrano aver avuto accesso anche ai dati personali e tecnici di alcuni dei suoi clienti.
“Tutti i ticket di supporto e gli scambi tecnici negli account interessati sono stati esaminati e i risultati sono stati comunicati ai clienti”, ha affermato Stormshield.
Secondo quanto detto da Stormshield circa il 2% degli account è stato colpito dalla violazione della sicurezza, che è “circa 200 account su più di 10.000”.
Questo tipo ti incidente, dopo FireyEye, Sonicwall, Fortinet e Cisco è l’ennesima conferma del fatto che non ha più senso parlare di sicurezza del perimetro ma si bisogna evolversi alla metodologia dello Zero Trust che va oltre, che guarda alla superficie d’attacco
コメント