SonicWall bevestigt dat aanvaller toegang had tot back-ups in MySonicWall

Firewallmaker SonicWall heeft bevestigd dat een of meerdere aanvallers toegang hebben gehad tot versleutelde back-ups van configuraties in MySonicWall. Dat kan het risico op gerichte aanvallen vergroten, waarschuwt het bedrijf.

De versleuteling is intact, maar het risico op gerichte aanvallen op klanten die hun data in MySonicWall hebben staan is door de hack wel groter, meldt SonicWall. Het bedrijf meldde drie weken geleden het incident voor het eerst en nu is het onderzoek samen met beveiligingsbedrijf Mandiant afgerond.

De credentials waren versleuteld, maar dat geldt vermoedelijk dus niet voor data van configuraties. Het gaat alleen om klanten die de cloudback-up van MySonicWall gebruiken, zo meldt het bedrijf. Dat is te zien doordat in de back-end gegevens zijn ingevuld in MySonicWall. Het bedrijf raadt getroffen klanten aan om alle apparaten te checken. Het bedrijf heeft maatregelen genomen om herhaling te voorkomen.

MySonicWall
MySonicWall

Door Arnoud Wokke

Redacteur Tweakers

09-10-2025 • 18:46

19

Submitter: DJSmiley

Reacties (19)

Sorteer op:

Weergave:

Ervaring met Sonicwall hier; de wachtwoorden van admin accounts zijn gelukkig AES-256 versleuteld sinds SonicOS 7, dus dat is in ieder geval 'iets', maar nog steeds een onprettig gevoel voor mensen die cloud-backup aan hebben staan.

De rest is base64 encoded en kan gewoon 1-op-1 worden uitgelezen; incl IP adressen, VLANs, portforwards, firewall-regels etc etc etc.

Het advies is sowieso om, als je affected bent, je admin wachtwoorden aan te passen, je SSL-VPN users hun wachtwoord te laten veranderen (ik zou RADIUS gebruiken, maar wie ben ik), je RADIUS Secrets te rotaten en uiteraard de je IPsec tunnels ook de passphrases van te wijzigen.

Tip voor de toekomst; zet Cloud Backup niet (meer) aan, sla een export van de configuratie ergens versleuteld op. Is maar een kleine handeling na een wijziging en je hebt het zelf in beheer.

edit : typos

[Reactie gewijzigd door EquiNox op 10 oktober 2025 10:04]

Dat ze een advies geven om credentials over de gehele configuratie te wijzigen baart mij zorgen. Laat mij blijken dat ze het zelf niet vertrouwen. Dit is nu al de zoveelste keer dat sonicwall grove fout maakt. Dit zie je niet zoveel in zulke vormen bij andere leveranciers.
Store Now, Decrypt Later principe is hier van toepassing.

Ondanks dat de wachtwoorden AES-256 encrypted zijn, weet je nooit of en wanneer iemand wél je wachtwoord kan/gaat decrypten. Dus ze kiezen voor de nuclear option, ook om zichzelf juridisch in te dekken voor de toekomst.

Cloud Backup staat default overigens UIT, maar wordt door veel mensen aan gezet vanwege gemak.

Niet meer doen.
Dat het bedrijf het advies geeft om na te gaan of je als klant de configuratie in de cloud opslaat lijkt vriendelijk. Maar als je als bedrijf of organisatie dat advies nodig hebt heeft wel de betekenis dat je om te beginnen al geen controle hebt over waar je toegang tot vaak belangrijke en gevoelige gegevens en diensten van afhankelijk zijn.
Voor een firewall maker is dit toch wel een serieus probleem. Niet dat er met andere firewalls nooit problemen zijn maar dat configuratie data niet ge-encrypted in de "cloud" worden opgeslagen is een serieuze ontwerpfout.
Eens, Cloud Backup staat echter default UIT.

Dit is een keuze van de router admin om dit aan te zetten. Dit is overigens niet vingerwijzen naar die admin, integendeel! Ik kan me heel goed voorstellen dat je het aan zet.

Het is een optie die voor gemak zorgt (je hoeft zelf niet meer na elke wijziging je config te exporteren en ergens beveiligd op te slaan), maar dat gemak blijkt dus, zoals zo vaak, voor beveiligingsproblemen te zorgen.

Deze vorm van cloud opslag is, in mijn optiek, gewoon een extra aanvalsvector, die vrij 'publiek' is.

[Reactie gewijzigd door EquiNox op 10 oktober 2025 16:15]

Dit kan een serieus probleem zijn. Hackers kunnen op die manier al informatie over (interne) netwerken achter een publiek IP te weten krijgen voordat ze binnen zijn. Zo ook welke poorten gepublished zijn. Als je dan al weet op welke hostnames systemen reageren, dan maakt dat een hack een stuk eenvoudiger.

Serieuze ontwerpfout dit.
Mijn collegas van IT waren hier vandaag heel blij mee. Ze hadden anders echt de hele dag gewoon niets te doen gehad.
Weet er alles van. Ook heel de dag bezig geweest hier :-)
Podverdikkie nou… wij zijn nog niet klaar. Morgen weer een dag.
ik ben al meer dan een week bezig met onze HA setup die onregelmatig reboot en dan beide units. Fijn als je alle vlans ook laat routeren via je Sonicwall. Ook een hotfix blijkt niet te helpen.

Na de update 7.30 7012 ging het cluster iedere 3 min in de reboot. Support vond het een P2 en nam de tijd. van 19:30 tot 5;55 heeft alles eruit gelegen hier.

En dat omdat ze stoppen met de SMA 500 en we over moeten naar de cloud vpn oplossing, en deze alleen juiste werkt met de nieuwe release.

Nog een half jaartje en dan gan ze de oud ijzer bak in hier
Hebben wij ook last van. In de laatste firmware verse zit een bug dat wanneer SNMP aan staat dat dan random reboots gebeuren.
Helaas helpt uitzettrn van snmp niet tegen de reboots. Ik moest nu Preserve IKE Port for Pass Through Connections,” uitzetten en dan weer testen. Oftewel ze weten het ook niet zeker
Zakelijk gebruiken wij het op een paar punten na naar volle tevredenheid! Valt wat mij betreft niet onder voor Fortinet etc...
Wacht maar.. heel de logica van Sonicwall is gewoon vervelend. Het is allemaal net anders dan dat je gewend bent. Daarnaast is debugging van problemen vaak lastig en de support ronduit slecht. Jaren gehad dat bij een aantal klanten downloads random werden afgebroken door de Sonicwall, geen oorzaak van te vinden in debugging en het lag niet aan de internet lijnen.

Als er een packet gedropped wordt door bijvoorbeeld de IPS dan kan je nergens terug vinden dat het de IPS was. In packet capture zie je enkel een drop door security services, welke van de 5?? Kan je dan weer los gaan testen door vinkjes aan en uit te gaan zetten.

Wij zijn gelukkig afgestapt en bieden geen Sonicwall meer aan.
Zo dachten wij ook. Tot je support nodig hebt. Of een firmware update. Van de laatste 5 updates gingen 3 keer helemaal mis met flinke downtime.

Nee, wij zijn er klaar mee


Om te kunnen reageren moet je ingelogd zijn