Source: Arctic Wolf — SonicWall a conclu son enquête sur l’exposition de fichiers de sauvegarde de configuration stockés dans les comptes MySonicWall, confirmant que tous les clients utilisant la sauvegarde cloud sont affectés. L’incident est critique car ces fichiers contiennent des identifiants sensibles historiquement exploités par des groupes étatiques et des rançongiciels.

• Impact et nature de l’exposition: Les sauvegardes de configuration de pare-feu exposées incluent des informations sensibles telles que les paramètres d’utilisateurs/groupes/domaines, la configuration DNS, des certificats et des identifiants. Les acteurs malveillants peuvent viser ces données pour un accès non autorisé aux environnements protégés. 🚨

• Détails techniques: Seuls les pare-feu Gen 7 et ultérieurs chiffrent individuellement les identifiants dans les exports de configuration au moyen d’AES‑256, ce qui limite partiellement l’exposition selon les modèles et versions. 🔐

• Mesures de remédiation recommandées:

  • Vérification dans le portail MySonicWall des numéros de série affectés, classés en: Active – High Priority (services exposés à Internet), Active – Lower Priority (sans exposition), Inactive (hors ligne depuis ≥90 jours).
  • Containment: désactiver l’administration WAN (HTTP/HTTPS, SSH), restreindre l’accès VPN (SSL VPN, IPSec) et limiter les accès entrants WAN via NAT/Access Rules.
  • Importer de nouvelles configurations: mots de passe locaux randomisés, réinitialisation des liaisons TOTP, clés IPSec randomisées.

• Réinitialisations d’identifiants (ordre de priorité, 7 catégories):

  1. Core Authentication: administrateur local, LDAP, RADIUS/TACACS+
  2. VPN Infrastructure: clés IPSec, L2TP/PPPoE/PPTP, SSLVPN
  3. Cloud Integrations: AWS IAM, DDNS, NAC, SNMP
  4. Email Services
  5. Wireless Infrastructure
  6. User Services/SSO
  7. Infrastructure/Legacy Systems

• IOCs et TTPs:

  • IOCs: aucun indicateur spécifique fourni.
  • TTPs: exposition/abus d’identifiants issus de sauvegardes, accès non autorisé via services exposés (management WAN, VPN SSL/IPSec), intérêt/usage par groupes étatiques et de ransomware.

Il s’agit d’un rapport d’incident et d’une synthèse technique visant à informer sur l’impact, détailler les mesures de confinement et ordonner la remédiation des identifiants.

🔗 Source originale : https://arcticwolf.com/resources/blog/sonicwall-concludes-investigation-incident-affecting-mysonicwall-configuration-backup-files/

🖴 Archive : https://web.archive.org/web/20251009052303/https://arcticwolf.com/resources/blog/sonicwall-concludes-investigation-incident-affecting-mysonicwall-configuration-backup-files/