SonicWall通知其用户在MySonicWall账号中存储的防火墙云计算设置文件备份,曾遭未经授权的访问,这些文件包含密码、密钥与其他敏感资讯,要是落入攻击者手中,可能降低渗透防火墙的难度。SonicWall表示,事件发现后已关闭未授权的访问点,并与国际执法及安全单位展开调查,同时要求受影响的用户立即执行隔离与凭证重设。
官方强调,影响范围限于有将设置文件备份在MySonicWall的防火墙。用户可登录MySonicWall确认状态,如果账号页面以提示横幅标示受影响的序号,代表这些防火墙必须立即采取修复步骤,当账号未显示受影响序号,但过去确曾使用云计算备份,SonicWall将在后续提供判断方式。
官方提供的标准流程为先隔离(Containment),再重设(Remediation)。管理者应先停用或制来自WAN的管理访问,仅允许可信来源通过HTTP/HTTPS、SSH、SSLVPN、IPsec VPN或SNMP连接。完成隔离后,必须全面更新本地账号密码、重绑TOTP、多项密钥与共享密码,包括IPsec预共享密钥、LDAP或RADIUS集成密码、SNMPv3用户凭证、DDNS账号、邮件与FTP服务密码,以及无线网络的预共享密钥。
对需要快速完成更新的环境,SonicWall提供一份可选的修订设置文件,其中已自动随机化本地用户密码与IPsec密钥,并重设TOTP绑定。导入后防火墙会立即重启,用户需重新登录并设置多重验证。在完成密钥与密码重新配置前,IPsec VPN用户访问会暂时中断,官方建议安排在维护时段进行。
官方说明,事件影响少于整体防火墙安装基数的5%,目前未发现备份文件遭外流,事件为针对云计算备份服务的暴力破解,非勒索事件。
本次事件后续处理不仅是账号密码的更新,用户还需针对跨站VPN、目录服务集成与邮件通知等依赖SonicOS设置文件的服务进行全面盘点与同步。完成相关设置重设与同步后,官方建议创建新的备份基准,以确保未来恢复及运维行业的一致性。
目前SonicWall已在官方事件页持续更新最新状态,并提供技术文件与支持服务,受影响用户可通过MySonicWall账号开立案件,获得专人协助。
