SonicWall已與Mandiant完成攻擊事件調查,確認攻擊者曾未經授權存取所有曾使用MySonicWall雲端備份服務的防火牆偏好設定備份檔。官方對事件範圍的說法也有所調整,先前在初步評估階段,SonicWall曾表示影響少於整體防火牆安裝基數5%,而在調查結束後,官方明確指出所有使用雲端備份服務的客戶均受影響。
SonicWall發布Essential Credential Reset操作指引,要求用戶依隔離、修復、監控3階段執行,且已停用自動將偏好設定備份上傳至雲端。如果用戶需存取既有雲端備份,必須登入MySonicWall介面手動取得。
SonicWall說明,遭存取的是防火牆偏好設定備份檔。該檔案為裝置設定的完整快照,內含各項憑證與秘密資訊,雖然秘密資訊本身受加密保護,但備份檔足以協助攻擊者描繪環境並策畫後續攻擊。官方表示目前沒有證據顯示其他MySonicWall服務或客戶裝置受影響,但仍建議受影響環境全面輪換憑證與共用金鑰,並依指引作業。
用戶在進入修復階段前,應先完成隔離,重點包括關閉或限制來自WAN的管理服務與遠端連線功能,例如暫停或限縮HTTP/HTTPS、SSH管理存取,暫停或限縮SSL VPN與IPSec VPN,並檢查是否有對內部伺服器的入站規則需要臨時關閉或改為僅允許可信來源。
修復階段用戶需逐一更換本機使用者與管理者密碼、IPSec預先共享金鑰與憑證、LDAP或RADIUS連線密碼、動態DNS與郵件警示帳密,以及重設TOTP綁定。所有變更須同時於相對應的外部系統或遠端端點更新,包含遠端IPSec對端、身分驗證伺服器與供應商平臺,以避免網路連線或驗證流程中斷。
官方提供兩條修復路徑,其一路徑為完全手動,依知識庫清單逐項調整密碼、金鑰與TOTP。另一條路徑是匯入SonicWall提供的更新後偏好檔,該檔以雲端最後一次備份為基礎產生,已包含隨機生成本機使用者密碼、重設TOTP並更新IPSec金鑰。
用戶在完成輪換後應持續監控,包含檢視系統與稽核紀錄中是否出現異常管理登入與組態變更,以及VPN連線事件。必要時可擴充記錄保存與通知設定,縮短偵測與回應時間。
熱門新聞
2025-12-02
2025-12-01
2025-12-01
2025-12-01
2025-11-30
2025-12-04