SonicWall hat bestätigt, dass es zu einem Sicherheitsvorfall im Zusammenhang mit dem Cloud-Backup-Service für Firewalls gekommen ist. Laut dem Unternehmen entdeckten die Sicherheitsteams kürzlich verdächtige Aktivitäten, die auf eine gezielte Attacke gegen die Backup-Dienste hindeuteten.
Angreifer konnten auf gesicherte Firewall-Preference-Dateien von weniger als 5 % der installierten Gerätebasis zugreifen. Zwar sind in diesen Dateien enthaltene Zugangsdaten verschlüsselt, dennoch enthalten sie Konfigurationsinformationen, die einen möglichen Missbrauch erleichtern könnten. Es handelt sich nicht um einen Ransomware-Angriff, sondern um eine Serie von Brute-Force-Angriffen mit dem Ziel, Zugriff auf die Backup-Dateien zu erhalten.
Bisherige Erkenntnisse:
- Keine Hinweise auf eine Veröffentlichung der Dateien im Netz.
- Betroffen sind nur Firewalls mit aktiven Cloud-Backups in MySonicWall.
- Kunden ohne gesicherte Backups sind nicht gefährdet.
SonicWall rät allen Nutzern dringend, zu prüfen, ob ihre Firewalls über MySonicWall.com Cloud-Backups enthalten. Betroffene Geräte werden in der Produktverwaltung mit Seriennummern und Hinweisen markiert. Kunden sollen umgehend folgende Schritte durchführen:
- Überprüfung der gekennzeichneten Firewalls.
- Zurücksetzen aller relevanten Zugangsdaten („Essential Credential Reset“).
- Überprüfung aller mit den Firewalls verbundenen Dienste.
Zur Unterstützung stellt SonicWall ein Remediation Playbook und ein Online-Tool zur Verfügung. Zudem steht ein Support-Team für betroffene Kunden bereit.
