Source : SonicWall (Support). ⚠️ SonicWall indique avoir détecté puis confirmé un incident visant le service de sauvegarde cloud de ses pare-feux : des attaques par force brute ont permis à des acteurs malveillants d’accéder à des fichiers de préférences de pare-feu stockés dans le cloud.
Selon l’éditeur, l’accès concerne moins de 5 % de la base installée. Les identifiants présents dans ces fichiers sont chiffrés, mais les fichiers contiennent également des informations pouvant faciliter une exploitation des pare-feux concernés. SonicWall précise n’avoir aucune preuve de fuite publique à ce stade et qu’il ne s’agit pas d’un ransomware, mais d’une série d’attaques par force brute.
Produits concernés : « SonicWall Firewalls with preference files backed up in MySonicWall.com ». Les clients sont invités à se connecter à MySonicWall.com pour vérifier la présence de sauvegardes cloud : si les champs de sauvegarde sont vides, le pare-feu n’est pas à risque ; si des sauvegardes existent, il faut vérifier dans Product Management | Issue List si des numéros de série sont signalés (avec Friendly Name, Last Download Date, Known Impacted Services). Les numéros de série affichés sont considérés « à risque » et doivent suivre les consignes de Essential Credential Reset. Note : la liste des services « Impactés » sert de guide général ; tous les services avec identifiants activés au moment ou avant la sauvegarde doivent être revus. Si la fonctionnalité Cloud Backup a été utilisée mais qu’aucun (ou seulement certains) numéros de série n’apparaissent, des précisions supplémentaires seront fournies par SonicWall dans les prochains jours.
Documentation et outils : SonicWall met à disposition « Essential Credential Reset » et un « Remediation Playbook », ainsi qu’un SonicWall Online Tool pour identifier les services nécessitant une remédiation (mode UPE non supporté). Une équipe support dédiée est mobilisée ; assistance via l’ouverture de ticket dans MySonicWall.
Mises à jour de l’avis (Change Log) : publication initiale le 17/09, puis ajustements successifs (clarification de la portée <5%, chiffrage des identifiants, absence de fuite connue, nature brute-force non ransomware), ajouts de captures, instructions étape par étape, note sur l’outil en ligne et une vidéo guide, dernière mention le 22/09.
• TTPs : attaques par force brute contre l’accès aux sauvegardes cloud ; accès non autorisé à des fichiers de configuration (préférences) pouvant faciliter des exploits sur les pare-feux ciblés. • IOCs : aucun indicateur (IP, domaine, hash) n’est fourni dans l’avis.
🔗 Source originale : https://www.sonicwall.com/support/knowledge-base/mysonicwall-cloud-backup-file-incident/250915160910330?is=e4f6b16c6de31130985364bb824bcb39ef6b2c4e902e4e553f0ec11bdbefc118