SonicWall bevestigt dat aanvaller toegang had tot back-ups in MySonicWall

Firewallmaker SonicWall heeft bevestigd dat een of meerdere aanvallers toegang hebben gehad tot versleutelde back-ups van configuraties in MySonicWall. Dat kan het risico op gerichte aanvallen vergroten, waarschuwt het bedrijf.

De versleuteling is intact, maar het risico op gerichte aanvallen op klanten die hun data in MySonicWall hebben staan is door de hack wel groter, meldt SonicWall. Het bedrijf meldde drie weken geleden het incident voor het eerst en nu is het onderzoek samen met beveiligingsbedrijf Mandiant afgerond.

De credentials waren versleuteld, maar dat geldt vermoedelijk dus niet voor data van configuraties. Het gaat alleen om klanten die de cloudback-up van MySonicWall gebruiken, zo meldt het bedrijf. Dat is te zien doordat in de back-end gegevens zijn ingevuld in MySonicWall. Het bedrijf raadt getroffen klanten aan om alle apparaten te checken. Het bedrijf heeft maatregelen genomen om herhaling te voorkomen.

MySonicWall
MySonicWall

Door Arnoud Wokke

Redacteur Tweakers

09-10-2025 • 18:46

10

Submitter: DJSmiley

Reacties (10)

Sorteer op:

Weergave:

Voor een firewall maker is dit toch wel een serieus probleem. Niet dat er met andere firewalls nooit problemen zijn maar dat configuratie data niet ge-encrypted in de "cloud" worden opgeslagen is een serieuze ontwerpfout.
Ervaring met Sonicwall hier; de wachtwoorden van admin accounts zijn gelukkig AES-256 versleuteld sinds SonicOS 7, dus dat is in ieder geval 'iets', maar nog steeds een onprettig gevoel voor mensen die cloud-baclup aan hebben staan.

De rest is bas64 encoded en kan gewoon 1-op-1 worden uitgelezen; incl IP adressen, VLANs, portforwards, firewall-regels etc etc etc.

Het advies is sowieso om, als je affected bent, je wachtwoorden aan te passen, je SSL-VPN users hun wachtwoord te laten veranderen (ik zou RADIUS gebruiken, maar wie ben ik), je RADIUS Secrets te rotaten en uiteraard de je IPsec tunnels ook de passphrases van te wijzigen.

Tip voor de toekomst; zet Cloud Backup niet (meer) aan, sla een export van de configuratie ergens versleuteld op. Is maar een kleine handeling na een wijziging en je hebt het zelf in beheer.

[Reactie gewijzigd door EquiNox op 9 oktober 2025 22:39]

Dit kan een serieus probleem zijn. Hackers kunnen op die manier al informatie over (interne) netwerken achter een publiek IP te weten krijgen voordat ze binnen zijn. Zo ook welke poorten gepublished zijn. Als je dan al weet op welke hostnames systemen reageren, dan maakt dat een hack een stuk eenvoudiger.

Serieuze ontwerpfout dit.
Zakelijk gebruiken wij het op een paar punten na naar volle tevredenheid! Valt wat mij betreft niet onder voor Fortinet etc...
Wacht maar.. heel de logica van Sonicwall is gewoon vervelend. Het is allemaal net anders dan dat je gewend bent. Daarnaast is debugging van problemen vaak lastig en de support ronduit slecht. Jaren gehad dat bij een aantal klanten downloads random werden afgebroken door de Sonicwall, geen oorzaak van te vinden in debugging en het lag niet aan de internet lijnen.

Als er een packet gedropped wordt door bijvoorbeeld de IPS dan kan je nergens terug vinden dat het de IPS was. In packet capture zie je enkel een drop door security services, welke van de 5?? Kan je dan weer los gaan testen door vinkjes aan en uit te gaan zetten.

Wij zijn gelukkig afgestapt en bieden geen Sonicwall meer aan.
Weet er alles van. Ook heel de dag bezig geweest hier :-)


Om te kunnen reageren moet je ingelogd zijn