SonicWall meldt dat er firewallconfiguraties blootgesteld kunnen zijn van al zijn klanten die cloud back-ups gebruiken.
SonicWall heeft bevestigd dat alle klanten die gebruikmaken van zijn cloud-backupdienst getroffen zijn door het beveiligingsincident van vorige maand. Eerder meldde het bedrijf enkel dat “firewallconfiguratiebestanden van bepaalde MySonicWall-accounts mogelijk waren blootgesteld”, zonder verdere details te geven.
Back-ups van firewalls blootgesteld
De cloudback-updienst van SonicWall wordt gebruikt om configuraties van firewalls op te slaan in zogenaamde .EXP-bestanden. Die configuraties bevatten instellingen, sleutels en authenticatiegegevens. Tijdens het onderzoek bleek dat een ongeautoriseerde speler toegang kreeg tot alle firewall-back-ups die in de cloud waren opgeslagen.
Hoewel de bestanden versleuteld zijn met de geavanceerde AES-256-encryptie, waarschuwt SonicWall dat de blootgestelde informatie misbruikt kan worden om firewalls eenvoudiger te binnen te dringen.
Gebruikers moeten wachtwoorden en sleutels resetten
SonicWall raadt alle klanten aan om onmiddellijk alle wachtwoorden, API-sleutels en authenticatietokens te vernieuwen. Het bedrijf publiceerde volgens Bleeping Computer een uitgebreide checklist met cruciale stappen:
- wachtwoorden van lokale gebruikers aanpassen
- tijdelijk toegangscodes (TOTP) opnieuw instellen
- gedeelde sleutels updaten in IPSec- en VPN-beleid
- aanpassen van wachtwoorden in L2TP/PPPoE/PPTP WAN interfaces
- nieuwe Cloud Secure Edge API-sleutel instellen
Daarnaast vraagt SonicWall beheerders om prioriteit te geven aan firewalls en regelmatig de lijst met problemen in het MySonicWall-portaal te controleren op risico’s. Het onderzoek is afgerond, maar SonicWall raadt nog steeds aan om de komende weken de beveiligingsmeldingen te blijven opvolgen.