Компания исправляет собственную недооценку.
SonicWall значительно расширила масштабы сентябрьского инцидента. Если изначально утверждалось, что злоумышленники получили доступ лишь к 5% резервных копий конфигураций межсетевых экранов, то теперь речь идёт о фактической компрометации всех клиентов, использовавших облачный сервис резервного копирования SonicWall.
Расследование показало, что злоумышленник получил несанкционированный доступ к конфигурационным файлам всех пользователей, чьи резервные данные хранились в облаке. Эти файлы содержат зашифрованные учётные данные и сетевые параметры, что при их расшифровке может упростить целевые атаки на устройства клиентов. SonicWall подчеркнула, что пока не зафиксировано случаев эксплуатации этих данных, однако все пользователи, чьи файлы резервных копий загружались в MySonicWall.com, рассматриваются как затронутые.
Компания выпустила детальные инструкции по реагированию и специальные инструменты для оценки состояния устройств. SonicWall рекомендует клиентам обновить все пароли, ключи и секреты, а также проверить настройки сервисов, связанных с устройством, включая интернет-провайдера, DNS-службы, почтовые системы и каналы VPN. Поскольку в конфигурациях SonicOS могут храниться учётные данные внешних служб, их обновление требуется не только на стороне SonicWall, но и в смежных системах.
В компании отмечают, что уже уведомляют пострадавших клиентов и продолжают внедрять дополнительные меры по защите облачной инфраструктуры. Сотрудничество с Mandiant продолжается, чтобы усилить мониторинг и предотвратить подобные инциденты в будущем.
Специалисты отрасли считают, что переход от оценки «5%» к «100%» связан с углублённым анализом логов и систем хранения. По мере изучения масштабов компрометации стало очевидно, что безопаснее считать уязвимыми всех пользователей облачного бэкапа. Такой подход позволяет избежать ложного чувства защищённости и стимулирует клиентов к полному обновлению данных доступа. Данный случай служит напоминанием о важности регулярной ротации паролей и недопустимости повторного использования одних и тех же учётных данных на разных платформах.