AccueilAlerts & Advisories

Violation de données de MySonicWALL Cloud Backup

Résumé

Le 8 octobreth, SonicWall a confirmé que les acteurs de la menace avaient eu accès à fichiers de sauvegarde de la configuration du pare-feu pour tous les clients qui a utilisé Service de sauvegarde dans le cloud MySonicWALL. Cela représente une augmentation significative du nombre d'organisations concernées par rapport à l'estimation initiale de SonicWall à la mi-septembre, qui indiquait que moins de 5 % des clients de sauvegarde étaient concernés par cette situation.

Après avoir conclu une enquête conjointe avec Mandiant, SonicWALL a déterminé que l'environnement de sauvegarde dans le cloud mySonicWALL était compromis, qui permettait aux attaquants d'accéder sans autorisation aux sauvegardes de configuration de chaque client utilisation du service.

Une activité suspecte ciblant le service de sauvegarde MySonicWALL a été détectée pour la première fois début septembre 2025, et l'accès aux fichiers de sauvegarde de la configuration du pare-feu aurait été obtenu par le biais d'attaques par force brute contre le service.

SonicWALL a publié une liste des appareils concernés et des outils de correction sur son portail client pour les clients concernés. Les fichiers de configuration exposés contiennent des informations d'identification cryptées et des données de configuration plus larges et moins protégées qui sont facilement lisibles par les attaquants. Ces informations pourraient permettre aux attaquants de cartographier la topologie du réseau et d'identifier les services exposés sur les appliances, augmentant ainsi la probabilité qu'une organisation concernée soit ciblée.

Cet incident concerne tous les produits de pare-feu SonicWALL qui utilisent la fonction de sauvegarde dans le cloud MySonicWALL. Beazley Security conseille à tous les clients SonicWALL de vérifier si leurs appareils ont été sauvegardés sur mySonicWALL et, le cas échéant, de suivre les étapes de correction décrites dans cet avis afin de garantir une rotation complète des informations d'identification.

Atténuations et solutions de contournement

Beazley Security recommande vivement aux organisations concernées d'effectuer une réinitialisation immédiate des informations d'identification sur tous les appareils répertoriés sur le portail MySonicWALL Issue List. Cela inclut la rotation des mots de passe d'administrateur, des clés VPN pré-partagées, des jetons d'API, des informations d'identification du service d'annuaire et des chaînes de communauté SNMP.

  • Si des actions correctives peuvent être effectuées immédiatement :
  • Restreignez tous les services exposés et l'accès VPN aux réseaux fiables uniquement, jusqu'à ce que les informations d'identification puissent être changées.
  • Désactivez les sauvegardes automatiques dans le cloud jusqu'à ce que les étapes de correction décrites dans la section « Actions correctives requises » de cet avis puissent être effectuées.

Ces étapes permettront de limiter l'exploitation potentielle liée aux configurations exposées et de réduire le risque d'attaques ciblées jusqu'à ce que la correction soit terminée.

Mesures correctives requises

Beazley Security conseille vivement aux clients MySonicWALL concernés de modifier tous les mots de passe des services configurés sur les pare-feux SonicWALL sauvegardés sur le service.

Sur le portail MySonicWALL, SonicWALL a publié une liste des appareils concernés pour aider à identifier les appareils dont le mot de passe doit être réinitialisé. Pour vérifier les appareils concernés, vous pouvez découvrir une liste hiérarchisée en suivant les étapes ci-dessous :

  • Connectez-vous à MySonic Wall -> Gestion des produits -> Liste des problèmes pour récupérer la liste des appareils.
  • Consultez la liste contenant les étiquettes de priorité « Actif — Priorité élevée », « Actif — Priorité inférieure » ou « Inactif » pour obtenir des conseils sur les risques associés à chaque appliance.
  • Désactivez les sauvegardes automatiques dans le cloud.
  • NE PAS effectuer de restauration à partir de sauvegardes cloud existantes depuis mySonicWALL. Supprimez les sauvegardes hébergées dans le cloud comme indiqué ; recréez de nouvelles sauvegardes locales UNE FOIS les rotations terminées.
  • Consultez les journaux de MySonicWALL et de pare-feu pour détecter toute activité suspecte, notamment des tentatives d'authentification ou des modifications de configuration inattendues, en particulier depuis début septembre.
  • Exécutez les » de SonicWALLRéinitialisation des informations d'identification essentielles» flux de travail sur les pare-feux concernés. Les services et les informations d'identification qui devraient être revus pour la rotation sont indiqués ci-dessous.

Informations d'identification requises pour faire l'objet d'une rotation

Changez les informations d'identification pour tous les services utilisés sur les appareils concernés :

Service

Remediation Step Description
Local Users Credentials Reset and update passwords of all local users. Force all users to set a new strong password.
User TOTP Codes Reset TOTP for all users and re-enroll authenticator apps.
LDAP / RADIUS / TACACS+ Secrets Update bind passwords and shared secrets for LDAP, RADIUS, and TACACS+ authentication. Update passwords on the corresponding authentication servers and SonicOS.
IPSec VPN Secrets Update shared secrets in all IPSec site-to-site and GroupVPN policies. Replace old pre-shared keys and coordinate with remote administrators.
L2TP / PPPoE / PPTP Secrets Update passwords used for any L2TP, PPPoE, or PPTP WAN interfaces in coordination with ISP account changes.
Cloud Secure Edge (CSE) API Keys Reset Cloud Secure Edge connector authentication and update API key.
AWS API Keys Update AWS IAM access keys used for logging and VPN integration in the AWS Console and SonicWall settings.
SNMPv3 Passwords Update SNMPv3 user passwords and credentials on monitoring hosts.
WWAN Passwords Update passwords used for cellular WWAN connections and coordinate with ISP updates.
Dynamic DNS (DDNS) Provider Passwords Reset DDNS provider account password and update SonicOS DDNS entries.
ClearPass Passwords Reset passwords to ClearPass Network Access Control servers. Coordinate with NAC administrators.
Email Server Passwords Reset passwords for email accounts used in log forwarding or OTP delivery.
FTP / HTTPS Servers Credentials Reset credentials used for log automation, packet monitor, scheduled reports, and Dynamic Botnet List Server.
Switch Management Passwords Reset management passwords for Dell/SonicWall integrated switches.
Wireless (Internal / Access Points / Virtual) Shared Secrets Update shared keys for wireless interfaces and profiles. Rotate WPA/WPA2/WPA3 passphrases.
SonicPoint / SonicWave (Mgmt) Management Password Reset L3 SSLVPN management password and coordinate with SSLVPN server updates.
SonicPoint / SonicWave (Admin) Passwords Reset administrator passwords for SonicPoint/SonicWave devices.
SonicPoint / SonicWave (RADIUS) Secrets Reset RADIUS shared secrets for wireless authentication and MAC Access Control.
RADIUS (Local) Secrets Reset RADIUS shared secrets and LDAP bind credentials for local RADIUS servers.
Guest Services Secrets Reset shared secret used by External Guest Authentication if message authentication is enabled.
SSO / TSA / RADIUS Accounting / 3rd Party API Keys Reset shared secrets across all SSO, TSA, and related integrations.
Accounting (RADIUS / TACACS+) Secrets Reset shared secrets used for RADIUS and TACACS+ accounting servers.
SMTP / POP AppFlow Passwords Reset password for SMTP or POP accounts used for AppFlow SFR reporting.
NTP Server Passwords Reset passwords for any custom NTP servers.
Signature Proxy Passwords Reset password for proxy server used to download signatures.

SonicWALL a déclaré disposer d'une équipe de service d'assistance dédiée pour vous aider à faire face à tout changement concernant cette question. L'assistance peut être initiée en accédant au MySonicWall portail avec un compte actif et en ouvrant un dossier auprès de leur équipe d'assistance.

Indicateurs de compromis

Au moment de la rédaction de cet article, SonicWall n'avait pas fourni d'attribution à un acteur de la menace donné ni publié d'IOC spécifiques associés à l'incident. Cependant, les comportements suivants peuvent indiquer une tentative d'exploitation ou une activité liée à la violation de MySonicWALL :

  • Tentatives d'authentification inhabituelles ou échecs de connexion répétés sur les interfaces SonicWALL (portails HTTPS, SSH ou PN)
  • Changements de configuration inattendus, tels que des règles d'accès modifiées, de nouveaux utilisateurs ou des paramètres VPN modifiés
  • Activité inattendue sur le compte MySonicWALL, telle que la suppression d'appareils ou la sauvegarde de la configuration, inconnue des administrateurs
  • Tentatives d'ingénierie sociale ciblant le personnel du service d'assistance ou le service informatique, qui pourraient exploiter les informations présentes dans les fichiers de configuration pour prétendre à l'authenticité d'une demande.

Les organisations concernées devraient collecter et examiner les journaux au moins à partir de septembre, car cette période correspond au calendrier d'investigation de SonicWall.

Détails techniques

Selon SonicWall rapport d'incident, des acteurs malveillants auraient exfiltré des données de sauvegarde des services cloud MySonicWALL pour tous les clients utilisant le service pour stocker les sauvegardes de configuration de leurs appliances SonicWALL. Les données sont considérées comme contenant des instantanés complets des configurations de pare-feu, y compris les secrets enregistrés dans ces fichiers de configuration.

L'incident est dû à un accès non autorisé au référentiel de sauvegarde dans le cloud de mySonicWALL, qui stockait les fichiers de configuration du pare-feu (fichiers « .EXP » contenant des instantanés complets) chargés par des clients ayant activé la fonction de sauvegarde dans le cloud sur les appliances SonicWALL. Ces sauvegardes contiennent des configurations complètes des appareils, notamment des objets réseau, des politiques, des règles d'accès, des définitions de VPN, des secrets et des paramètres de service.

SonicWALL indique que les informations d'identification contenues dans les configurations ont été chiffrées, mais les données de configuration plus générales sont codées de manière à les rendre facilement décodables et lisibles par un attaquant. Les informations d'identification sensibles contenues dans les configurations, telles que les mots de passe, les clés pré-partagées VPN et les jetons d'authentification, sont considérées comme protégées par un cryptage AES-256 sur les appareils Gen7 et plus récents. Cependant, les configurations fournissent également aux attaquants des informations clés sur la posture de sécurité de la cible. Cela signifie que toute personne ayant accès aux fichiers pourrait cartographier la topologie du réseau et exposer les services Internet et les interfaces de gestion, augmentant ainsi le risque d'exécuter avec succès des attaques ciblées contre les organisations concernées.

Beazley Security s'attend à ce que les attaquants qui obtiennent les configurations exfiltrées s'efforcent de déchiffrer les secrets et de cibler les clients concernés en utilisant la reconnaissance à partir des configurations de l'appareil. Les organisations concernées doivent traiter ces fichiers de configuration comme potentiellement exposés et réinitialiser toutes les informations d'identification et les secrets associés en conséquence.

Comment Beazley Security réagit

Beazley Security surveille les appareils périmétriques des clients via notre plateforme de gestion des expositions afin d'identifier les appareils concernés et d'aider les organisations à remédier à tout problème détecté.

Nous menons également des recherches sur les menaces dans notre environnement MDR afin de détecter les tentatives d'exploitation potentielles contre nos clients.

Si vous pensez que votre organisation a peut-être été touchée par cette campagne d'attaque et a besoin d'aide, veuillez contactez notre équipe de réponse aux incidents.

Sources

Download PDF

Aware of an incident impacting your industry? Let us know:

Report an incident