SonicWall 指责 2025 年 9 月发生的云备份安全泄露是“国家支持的威胁者”。

在公司网站上发布的更新中,SonicWall 表示已完成对该事件的调查,并确认恶意活动是“由国家支持的威胁者实施的”,并且“仅限于通过 API 调用对特定云环境中的 云备份 文件进行的未经授权访问。”

在 2025 年 9 月中旬,SonicWall 警告其 防火墙 客户在不明威胁者强行进入公司的 MySonicWall 云服务后,提醒客户重置密码。这个工具让 SonicWall 防火墙用户(通常是企业和 IT 团队)能够备份他们的防火墙配置文件,包括网络规则、访问策略、VPN 配置、服务凭据(如 LDAP、RADIUS、SNMP)以及管理员用户名和密码(如果存储在配置中)。

黑客一样行动

最开始,SonicWall说受影响的客户不到5%,但后来确认这次泄露影响了所有客户(全球可能多达50万)。

公司确认他们的产品和固件没有受到损害,也没有其他系统、工具、源代码或客户网络受到干扰或篡改。

“SonicWall 已采取 Mandiant 推荐的所有当前的修复措施,并将继续与 Mandiant 及其他第三方合作,进一步加强我们的网络和云基础设施,”它说。

理论上,攻击者可以通过暴力破解或解密从备份中窃取的机密,提取与防火墙相关服务中使用的凭据,了解网络拓扑和规则,从而更容易绕过防御,并利用内部知识发起针对性的攻击,掌握防火墙的配置。

SonicWall 没有透露攻击者的身份,目前也没有人对此次攻击负责。强调这些事件与最近针对备份的 Akira 攻击没有关系。

来源BleepingComputer