Компания SonicWall подтвердила, что произошедшая в прошлом месяце утечка данных затронула всех клиентов, которые использовали облачный сервис компании для резервного копирования. В итоге конфигурации файрволов, хранившиеся в MySonicWall, попали в руки хакеров.
MySonicWall — портал для клиентов SonicWall, через который можно управлять доступом к продуктам, лицензированием, регистрацией, обновлением прошивок, обращениями в поддержку и облачными бэкапами конфигураций файрволов (файлы .EXP).
В середине сентября 2025 года SonicWall призвала своих клиентов как можно скорее сменить учетные данные, так как в результате кибератаки, затронувшей аккаунты MySonicWall, были скомпрометированы файлы резервных копий конфигураций файрволов.
Тогда подробности атаки не раскрывались, и в SonicWall сообщали, что заблокировали атакующим доступ к системам компании, и уже сотрудничают с агентствами по кибербезопасности и правоохранительными органами.
Компания опубликовала подробные рекомендации, призванные помочь администраторам минимизировать риски эксплуатации украденных конфигураций. В частности, рекомендовалось как можно скорее перенастроить потенциально скомпрометированные секреты и пароли, а также следить за возможной активностью атакующих.
На тот момент производитель сообщал, что примерно 5% от общего числа клиентов используют облачный сервис резервного копирования, но в результате атаки пострадали только «некоторые аккаунты».
В обновлении, опубликованном на этой неделе, SonicWall предупредила, что инцидент затронул всех клиентов, которые использовали облачный портал для хранения файлов конфигураций файрволов.
«SonicWall завершила расследование масштабов недавнего инцидента, связанного с безопасностью облачных резервных копий, проведенное совместно с ведущей IR-компанией Mandiant, — говорится в обновленном бюллетене безопасности. — Расследование подтвердило, что неавторизованная сторона получила доступ к файлам резервных копий конфигураций файрволов всех клиентов, использовавших облачный сервис резервного копирования SonicWall».
Подчеркивается, что скомпрометированные файлы содержат зашифрованные с помощью AES-256 учетные данные и конфигурационные данные.
Пользователи могут проверить, входят ли их устройства в число пострадавших: нужно войти в MySonicWall и перейти в раздел Product Management -> Issue List. Если там присутствуют пункты, ожидающие действий, пользователям следует выполнить шаги из руководства Essential Credential Reset, отдавая приоритет активным файрволам с доступом в интернет.
