SonicWall официально подтвердила: неавторизованный доступ к облачным резервным копиям конфигураций затронул всех клиентов, которые использовали сервис бэкапа в портале MySonicWall. Расследование проводилось совместно с IR-командой Mandiant и показало, что злоумышленники получили доступ к файлам конфигураций (.EXP), хранившимся в облаке в рамках функции резервного копирования.
Масштаб и хронология инцидента
В середине сентября 2025 года компания предупредила об атаке на аккаунты MySonicWall и рекомендовала срочно сменить учетные данные. Тогда указывалось, что облачный бэкап используют около 5% клиентов, а затронуты «некоторые аккаунты». Теперь в обновленном бюллетене уточняется: доступ был получен к резервным конфигурациям всех клиентов, использовавших облачный сервис. SonicWall утверждает, что доступ злоумышленников к системам был заблокирован, а компания взаимодействует с правоохранительными органами и профильными агентствами.
Что именно скомпрометировано и почему это важно
Резервные конфигурации файрволов содержат полную картину сетевой политики: объекты и зоны, правила доступа, NAT, маршрутизацию, VPN-настройки, сведения об администраторах и интеграциях. По заявлению SonicWall, учетные данные и конфигурационные данные в бэкапах защищены шифрованием AES‑256. Несмотря на это, даже метаданные конфигураций (топология сети, адресные пространства, экспонированные сервисы) представляют высокую ценность для подготовки целевых атак и обхода периметра.
Потенциальные риски для организаций
Обладатель конфигурации получает «карту» вашей сети. Это упрощает: выявление внешних управляющих интерфейсов и сервисов, подбор эксплойтов под конкретные версии и модели, нацеливание на VPN и межсетевые соединения, а также проведение правдоподобного фишинга с использованием технических деталей. Отраслевые отчеты, включая Verizon DBIR, неизменно фиксируют, что компрометация учетных данных — один из ключевых векторов атак, а знание конфигурации сети повышает шансы злоумышленников на успешную эксплуатацию.
Как проверить воздействие на ваши устройства и какие шаги предпринять
Проверка статуса в MySonicWall
Войдите в MySonicWall и перейдите в Product Management → Issue List. Если присутствуют пункты, требующие действий, выполните шаги из руководства Essential Credential Reset, начиная с активных файрволов с доступом в интернет.
Первоочередная ротация секретов и укрепление контура
Рекомендуется немедленно:
- Сменить пароли администраторов, отключить неиспользуемые и подозрительные учетные записи, включить MFA на все возможные доступы.
- Перегенерировать VPN-секреты (PSK), сертификаты и приватные ключи, обновить доверенные корни при необходимости.
- Обновить секреты интеграций: RADIUS/TACACS+/LDAP, API-ключи, SNMP community/USM.
- Ограничить доступ к управляющим интерфейсам по IP/сетям, применить jump-host/VPN, отключить управление с недоверенных сегментов.
- Установить актуальные прошивки, проверить журналы на предмет подозрительных входов и изменений политик, задействовать мониторинг и оповещения.
Среднесрочные меры и устойчивость к будущим инцидентам
Пересмотрите политику хранения резервных копий: применяйте сегрегацию, контроль доступа по принципу наименьших привилегий и раздельное управление ключами шифрования. По возможности храните конфигурации в зашифрованном виде вне публичных облачных контуров с независимым управлением ключами. Регулярно тестируйте план реагирования на инциденты, автоматизируйте ротацию секретов и инвентаризацию экспонированных сервисов.
Инцидент подчеркивает критичность управления конфигурациями и секретами в облачных сервисах. Даже при сильном шифровании, утечка конфигурационных данных увеличивает поверхность атаки. Организациям стоит оперативно выполнить ротацию ключевых секретов, проверить рекомендации SonicWall и Mandiant, включить расширенный мониторинг и пересмотреть архитектурные допущения. Чем быстрее будут приняты меры по минимизации рисков и укреплению процедур бэкапа, тем ниже вероятность успешной эксплуатации последствий утечки.
