[English]Kurzer Hinweis an Leser, bei denen SonicWall zum Einsatz gelangt und die die Information heute noch nicht erhalten haben. Es gab einen Vorfall, bei dem Backup-Dateien der Firewall-Konfiguration, die in bestimmten MySonicWall-Konten gespeichert waren, offengelegt wurden. So konnten Angreifer die Konfigurationsinformationen auslesen.
Blog-Leser Adrian W. hat mich per E-Mail über den Vorfall informiert (danke dafür), der am 17. September 2025 durch SonicWall im Support-Beitrag MySonicWall Cloud Backup File Incident offen gelegt wurde.
Backup-Dateien auf MySonicWall.com offen gelegt
Laut Hersteller wurden bei dem Vorfall die Backup-Dateien der Firewall-Konfiguration, die in bestimmten MySonicWall-Konten gespeichert waren, offengelegt. Es besteht laut SonicWall die Gefahr, dass beim Angreifer beim Zugriff auf die offengelegten Firewall-Konfigurationsdateien Informationen enthalten, die es erheblich erleichtern könnten, Firewalls auszunutzen.
Als dieser Vorfall bemerkt wurde, hat SonicWall das Ganze untersucht und schließlich die unbefugten Zugriffe auf die MySonicWall-Konten eingedämmt. Da waren die Konfigurationsdateien aber bereits abgeflossen und befinden sich in Händen der Angreifer, auch wenn SonicWall mit Strafverfolgungsbehörden und ausgewählten Cybersicherheitsbehörden weltweit zusammengearbeitet.
Betroffene MySonicWall.com-Nutzer müssen handeln!
Betroffen sind SonicWall-Firewalls mit Präferenzdateien, die auf MySonicWall.com gesichert sind. Aufgrund der Sensibilität der Konfigurationsdateien empfiehlt SonicWall betroffenen Kunden dringend, unverzüglich die folgenden Maßnahmen zu ergreifen:
- Prüfen, ob Cloud-Backups aktiviert sind. Falls nein, ist man nicht gefährdet. Falls ja, mit dem nächsten Punkt fortfahren.
- Bei aktivem Cloud-Backup prüfen, ob das Konto zu den betroffene Seriennummern gehört (diese werden nach Anmeldung in einem Banner gekennzeichnet).
Sofern man betroffen ist, die Richtlinien zur Eindämmung und Behebung befolgen (siehe hier). SonicWall will in den kommenden Tagen zusätzliche Anweisungen bereitstellen, um festzustellen, ob Ihre Backup-Dateien betroffen sind.
MVP: 2013 – 2016
Danke für die Information!
Aktuell sind keine Cloud-Backup mehr sichtbar. Es kann auch keiner erstellt werden. Vermutlich hat Sonicwall die API gesperrt.
Empfehlung:
Lokaler Backup erstellen und die Konfiguration exportieren und ausser Haus lagern falls das RZ abraucht.
Da legt man 0.01% an Daten in die Cloud, damit die Konfiguration immer schön automatisch extern gespeichert wird und dann sowas bei einem Anbieter von Security-Lösungen.
Ob wir betroffen sind weiss ich noch nicht, da die Lizenz im Konto beim Dienstleister dran hängt. Schreibe dem jetzt eine Mail.
Alles schön und gut – nutzt aber auch nur wenn man in der Appliance auch das entsprechende Cloud-Backup deaktiviert, also empfehle ich dies als erstes zu tun, danach das erwähnte.
Backups niemals in die Cloud machen, sondern immer lokal.
Und bei lokalen Backups immer auf Offlinemedien, die außer Haus gelagert werden.
Der Fall zeigt gut, das man mit Cloud die Datenhoheit aus der Hand gibt und den Cloudanbietern komplett ausgeliefert ist.
Man macht sich zum Sklaven der Cloudanbieter.
Backup / Konfiguration einer Firewall in einem Cloud Speicher ablegen und das wohl auch noch unverschlüsselt… ganz ehrlich: Wieso spart man sich da nicht direkt die Firewall, wenn Sicherheit offenkundig eh kein Thema ist.
Im MySonicWall Portal findet man unter Produktverwaltung den Punkt "Issue List" um zu checken, ob man betroffen wäre.
Auch aufzurufen unter folgendem Link, wenn man bereits im Portal angemeldet ist:
https://www.mysonicwall.com/muir/ui/workspace/m/feature/issuelist
Auf Reddit gibt es inzwischen auch mehrere Beiträge:
https://www.reddit.com/r/sonicwall/comments/1njbgt0/mysonicwall_cloud_backup_potentially_exposed/
https://www.reddit.com/r/sysadmin/comments/1njdtn5/sonicwall_security_breach_cloud_backups/
https://www.reddit.com/r/msp/comments/1njhwps/sonicwall_cloud_backups_compromised/
Bei Sonicwall läuft es ja aktuell echt prächtig. Ich bin schockiert, dass die Backups dort nicht verschlüsselt gelagert werden. Ist doch eigentlich stand der Technik, Backups in die Cloud, nur verschlüsselt
Ich bin (leider) SNSP und kann berichten, dass Sonicwall zunehmend an Qualität verliert. Gen.7 Firewalls sind nichtmehr auf VXworks Basis und durch den Architekturwechsel sind entsprechend viele Bugs in den Firmwares vorhanden (Kunde=Alphatester)
Die letzten Jahre erlebte ich mit diesem Hersteller nur Katastrophen.
abrauchende ESAs die nach einer Updateinstallation nicht mehr booten, lange RMA-Lieferzeiten, fehlender Support mit Sprachkompetenz (auch in englisch eine Katastrophe). Securitydienste die ihren dienst einfach aus heiterem Himmel quittieren.
Jan Patrick kann einem nur leid tun, dass er so einen Saftladen vertreten muss. Bei jedem Ticket musste ich erst ihm Beine machen ehe der indische Support überhaupt was auf die Kette bekam. Das ist nicht nur ärgerlich sondern auch nicht akzeptabel. Meine Kunden zahlen tausende Euros für diese beschi****** Firewalls und dann deckt man einen Bug nach dem anderen auf, bekommt Hotfixes zum einspielen und am Ende funktioniert eine andere essentielle Securityfunktion nicht mehr.
Ich bin von Sonicwall absolut nicht mehr überzeugt und kann keinem mehr die Produkte dieses Herstellers empfehlen. Auch wenn die anderen Hersteller mit Wasser kochen und ebenfalls ihre Probleme haben, habe ich bisher weder bei PaloAlto (ca. 80 Firewalls), Sophos (50 Firewalls) oder Fortinet (25 Firewalls) solch miserable Leistungen erlebt. Mag vielleicht auch an der Fülle liegen, da ich Sonicwalls im oberen dreistelligen Bereich betreue, aber auch Kollegen die andere Hersteller vertreiben, berichten bei weitem nicht so viel Probleme, Pleiten, Pech und Pannen.
Habe zwar selbst nichts mit Sonicwall zu tun, aber mir fällt es einfach so auf. Kalt kann mal eine Lücke sein, darüber beschwere ich mich nicht, ist halt Softwareentwicklung. Und Sophos, was ich aktuell für Kunden habe, hat auch Sicherheitslücken. Aber die Schwere und Häufigkeit bei Sonicwall find eich doch sehr beachtlich. Wirst du komplett von Sonicwall weggehen?
Bingo! Alle ca. 870 Firewalls werden zum Ende der Lizenzen ausgetauscht ;)
Sehe ich ähnlich. Wo es von Gen6 zu Gen7 Fortschritte gab, ist es aber rein auf Gen7 zunehmend zäher geworden. Aktuell ohne dem Security Problem sind schon komische Bugs, die nicht und nicht in die finalen Versionen kommen. Dann hängt man irgendwo und kann womöglich die neueste Firmware nicht nutzen obwohl dort wieder Sicherheitslücken behoben wären…
…also erneute Anfrage bzgl. Hotfix und das Spiel geht wieder von Vorne los.
Noch weiss man ja noch nicht genau wie die Daten abgezogen wurden. Also nicht im Voraus Opfer zu Mittäter machen, nur weil man eine zusätzliche Kopie des Backup in die Obhut des Herstellers gibt. Wer sein Vermögen einer Bank anvertraut, legt es auch in die Cloud. Oder geht jemand zuerst zur Bank in den Tresorraum und erledigt seine eBanking-Geschäfte dort, damit die Daten nur im LAN der Bank transferiert werden?
Bei Bleeping Computer ist folgendes zu lesen:
„A SonicWall spokesperson has told BleepingComputer that the incident affects fewer than 5% of SonicWall firewalls and that the attackers targeted the API service for cloud backup in brute-force attacks."
https://www.bleepingcomputer.com/news/security/sonicwall-warns-customers-to-reset-credentials-after-MySonicWall-breach/
Das mit der Bank ist kein guter Vergleich, erstens ist das Produkt überschaubar, zweitens stark reguliert und drittens gibt es hohe Schutzstandards für Kunden. IT ist viel komplexer, teils getrieben durch margenschwache Produkte und nicht selten verwaltet durch überforderte Hilfskräfte. Oder aber es werden gleich Chinesen eingesetzt um den MS US GOV Tenant zu warten. Die waren bestimmt nicht überfordert, MS wollte nur hohe Stundenlöhne durch Lohndumping ersetzen. Da kann man ja gleich MFA deaktivieren und die Schnittstellen offen zur Verfügung stellen.
IT ist komplex, es herrscht an vielen Stellen Unvermögen, es fehlt der Überblick, dafür gibt es Planlosigkeit und in der Cloud passt das wie die Faust aufs Auge. Türen und Toren wurden und werden geöffnet, da komme, was wolle.
"Remediation Playbook"
sonicwall. com/support/knowledge-base/remediation-playbook/250916130050523
Das sind Handlungsanweisungen in Form von If – Then Regeln zur Absicherung der betroffenen Systeme, abhängig von den benutzten Features in der SonicWall.
Da haben Admins aber reichlich zu tun.
Geschätzt werden 20-30 Minuten Aufwand pro Firewall.
Das Cloud Backup funktionierte schon seit Wochen nicht mehr…
Wenn ich das schon wieder lese.
Ist zwar nur mutmaßlich, aber Brutforce ist doch nur besseres Wording für: sie haben unsere URLs durchprobiert und konnten dadurch ohne authentifizierung den Download starten.
Das haben die an einigen stellen. Downloads ohne authentifizierung / vernünftige Kurzzeit Links
Mir ist noch etwas aufgefallen, das nicht in der Dokumentation steht: Es wird zwar empfohlen, vorsorglich alle Credentials zurückzusetzen, aber die Firewall verwaltet auch unter Umständen private Zertifikate, z. B. für DPI-SSL. Diese sollten wir ebenfalls als potenziell kompromittiert betrachten.