SonicWall: Firewall-Konfigurationen aller Cloud-Backup-Kunden kompromittiert

SonicWall hat bestätigt, dass sämtliche Kunden, die den Cloud-Backup-Dienst des Unternehmens nutzen, von der Sicherheitsverletzung im vergangenen Monat betroffen sind.

Zuvor hatte der Anbieter erklärt, der Vorfall habe „Backup-Dateien mit Firewall-Konfigurationen, die in bestimmten MySonicWall-Konten gespeichert waren“, offengelegt, ohne zunächst weitere Details zu nennen.

MySonicWall ist ein Online-Portal, das Kunden für die Verwaltung von Produktzugang, Lizenzierung, Registrierung, Firmware-Updates, Supportfällen und Cloud-Backups von Firewall-Konfigurationen (.EXP-Dateien) dient.

Am 17. September forderte SonicWall seine Kunden auf, ihre MySonicWall-Kontodaten zurückzusetzen, um die Backup-Dateien für Firewall-Konfigurationen zu schützen, auf die unbefugte Akteure möglicherweise Zugriff erlangt hatten.

Zur Unterstützung der Administratoren veröffentlichte das Unternehmen Anweisungen für das Zurücksetzen, die alle Anmeldedaten, API-Schlüssel, Authentifizierungstoken, VPN-Konten und zugehörigen Dienste umfassen sollten.

Aktualisiert am 10. Oktober 2025 / Quelle: SonicWall

MySonicWall Cloud Backup-Datei-Vorfall

Beschreibung

SonicWall hat seine Untersuchung in Zusammenarbeit mit dem führenden IR-Unternehmen Mandiant zum Umfang eines kürzlich aufgetretenen Sicherheitsvorfalls im Zusammenhang mit Cloud-Backups abgeschlossen. Die Untersuchung bestätigte, dass eine unbefugte Partei auf die Backup-Dateien der Firewall-Konfiguration aller Kunden zugegriffen hat, die den Cloud-Backup-Dienst von SonicWall genutzt haben.

Die Dateien enthalten verschlüsselte Anmeldedaten und Konfigurationsdaten. Obwohl die Verschlüsselung weiterhin besteht, könnte der Besitz dieser Dateien das Risiko gezielter Angriffe erhöhen. Wir sind dabei, alle betroffenen Partner und Kunden zu benachrichtigen, und haben Tools zur Unterstützung bei der Gerätebewertung und -korrektur veröffentlicht. Aktualisierte und umfassende endgültige Listen der betroffenen Geräte sind jetzt im MySonicWall-Portal verfügbar (navigieren Sie zu „Produktmanagement > Problemliste“).

Um die Priorisierung der Abhilfemaßnahmen zu erleichtern, enthält die Liste ein Feld, in dem jedes Gerät wie folgt gekennzeichnet ist

1. „Aktiv – hohe Priorität“ (Geräte mit aktivierten internetfähigen Diensten)
2. „Aktiv – niedrige Priorität“ (Geräte ohne internetfähige Dienste)
3. „Inaktiv“ (Geräte, die seit 90 Tagen keine Verbindung zum Home-Server hergestellt haben).

Wir bitten alle Partner und Kunden dringend, sich anzumelden und ihre Geräte zu überprüfen. SonicWall hat zusätzliche Sicherheitsmaßnahmen implementiert und arbeitet eng mit Mandiant zusammen, um seine Cloud-Infrastruktur und Überwachungssysteme weiter zu verbessern.

Betroffene Produkte:

• SonicWall-Firewalls mit Präferenzdateien, die auf MySonicWall.com gesichert sind

Aufgrund der Sensibilität der Konfigurationsdateien empfehlen wir unseren Kunden dringend, unverzüglich die folgenden Schritte zu unternehmen:

• Melden Sie sich bei Ihrem MySonicWall.com-Konto an und überprüfen Sie, ob Cloud-Backups für Ihre registrierten Firewalls vorhanden sind. Wenn Sie SonicWall Unified Management (SonicPlatform) verwenden und Probleme beim Zugriff auf MySonicWall.com haben, klicken Sie nach der Anmeldung auf „Abbrechen“, wenn Sie aufgefordert werden, zu SonicPlatform zu wechseln.

HINWEIS: Bitte überprüfen Sie MySonicWall.com regelmäßig auf Aktualisierungen Ihrer Liste der betroffenen Geräte.

Fakten zur Sicherungsdatei

Grundlagen zum Dateiexport:

• Beim Exportieren (Sichern) der Firewall-Einstellungen wird eine Datei mit der Erweiterung .EXP erstellt.
• Die EXP-Datei enthält einen vollständigen Snapshot der Gerätekonfiguration, einschließlich Anmeldedaten und anderer Geheimnisse.
• Sie dient dazu, das Quellgerät – oder ein Ersatzgerät – genau in den erfassten Zustand zurückzusetzen.

Schutzmaßnahmen für lokal erstellte EXP-Dateien:

• Der Dateiinhalt ist codiert (nicht verschlüsselt).
• Anmeldeinformationen und Geheimnisse innerhalb der Datei werden in Gen 7- und neueren Firewalls individuell mit AES-256 und in Gen 6 mit 3DES verschlüsselt.
• Dadurch sind allgemeine Konfigurationsdetails nach einer einfachen Dekodierung lesbar, während Passwörter/Schlüssel verschlüsselt bleiben.

Zusätzliche Schutzmaßnahmen im Cloud-Backup-Workflow:

• Wenn die EXP-Datei über Cloud-Backup generiert wird, wird sie über HTTPS an die MSW Cloud Backup API übertragen.
• Die MSW Cloud Backup API wendet dann Dateiverschlüsselung und -komprimierung an, bevor die Datei gespeichert wird.

Abruf aus dem Cloud-Backup:

• Wenn eine Cloud Backup EXP von MySonicWall heruntergeladen wird, führt die API folgende Schritte aus:
  • Entschlüsselt die beim Hochladen angewendete Vollverschlüsselung der Datei und stellt sie in ihrem ursprünglichen verschlüsselten Zustand wieder her, wobei Anmeldedaten und Geheimnisse verschlüsselt bleiben.
  • Überträgt die verschlüsselte EXP-Datei sicher über HTTPS an den Anforderer.

Bei Problemen mit diesen Änderungen steht Ihnen unser engagiertes Support-Team zur Verfügung. Bitte beachten Sie, dass Sie für die Durchführung der erforderlichen Updates verantwortlich sind. Wenn Sie Probleme haben, melden Sie sich bei Ihrem MySonicWall-Konto an und öffnen Sie einen Fall bei unserem Support-Team unter: https://www.mysonicwall.com/muir/login.

Aktualisiert am 10. Oktober 2025

Zurücksetzen wichtiger Anmeldedaten

Beschreibung

Übersicht

Dieses Dokument enthält drei Hauptabschnitte: Eindämmung, Behebung und Überwachung. Durch Eindämmung wird das Risiko verringert, dass eine offengelegte Firewall-Konfiguration genutzt wird, um Zugriff auf das Netzwerk zu erlangen. Bei der Behebung werden potenziell offengelegte Geheimnisse und Passwörter neu konfiguriert. Durch Überwachung werden potenzielle Bedrohungsaktivitäten identifiziert.

Dieser Artikel beschreibt die wesentlichen Schritte, die erforderlich sind, um die Anmeldedaten häufig verwendeter Funktionen in SonicOS zurückzusetzen, die für den Zugriff über das Internet konfiguriert sein können. Diese Behebungsmaßnahmen umfassen Links zu anderen Ressourcen wie KB-Artikeln und Administratorhandbüchern mit schrittweisen Anweisungen zum Zurücksetzen verschiedener Passwörter, freigegebener Geheimnisse, Verschlüsselungsschlüssel und TOTP-Bindungen in SonicOS.

Beginnen Sie mit dem Abschnitt „Eindämmung“ weiter unten. Sobald die Eindämmung abgeschlossen ist, können Sie mit dem Abschnitt „Behebung IF/THEN“ fortfahren, um die empfohlenen Schritte basierend auf den auf der Ziel-Firewall aktivierten Funktionen zu bestimmen.

HINWEIS: Die automatische Cloud-Sicherung der Firewall-Einstellungsdatei in MySonicWall ist derzeit deaktiviert. Um auf die in MySonicWall-Cloud-Sicherungen gespeicherten Firewall-Einstellungsdateien zuzugreifen, müssen sich Kunden bei der MySonicWall-Webschnittstelle anmelden.

Entdecken Sie mehr

---

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky