[English]Kurzer Hinweis an Leser hinsichtlich einer unschönen Entwicklung bei SonicWall. Kürzlich gab einen Vorfall, bei dem Backup-Dateien der Firewall-Konfiguration offengelegt wurden. Hieß es noch, dass nur wenige Konten betroffen seien, gibt es jetzt die Meldung, dass alle Konten, die ein Cloud-Backup verwenden, betroffen sind. Angreifer konnten die Konfigurationsinformationen auslesen.
Rückblick auf den Backup-Vorfall
Am 17. September 2025 wurde durch SonicWall im Support-Beitrag MySonicWall Cloud Backup File Incident ein Vorfall offen gelegt, bei dem die Backup-Dateien der Firewall-Konfiguration durch Unbefugte einsehbar waren. Ich hatte im Beitrag MySonicWall Cloud Backup File Incident: Backup der Konfiguration offen gelegt berichtet. Damals hieß es noch, dass es nur Backup-Files seien, die in bestimmten MySonicWall-Konten gespeichert waren. Man sprach von ca. 5 % der Konten. SonicWall warnte vor der Gefahr, dass Angreifer beim Zugriff auf die offengelegten Firewall-Konfigurationsdateien Informationen enthalten, die es erheblich erleichtern könnten, Firewalls auszunutzen.
Meldung auf alle Konten ausgeweitet
Im Support-Beitrag MySonicWall Cloud Backup File Incident schreibt SonicWall nun, dass man in Zusammenarbeit mit dem Unternehmen Mandiant die Untersuchung zum Umfang des oben erwähnten Sicherheitsvorfalls im Zusammenhang mit Cloud-Backups abgeschlossen habe. Die Untersuchung bestätigte, dass eine unbefugte Partei auf die Backup-Dateien der Firewall-Konfiguration aller Kunden zugegriffen hat, die den Cloud-Backup-Service von SonicWall genutzt haben.
Die Backup-Dateien enthalten verschlüsselte Anmeldedaten und Konfigurationsdaten. Die Verschlüsselung bleibt zwar erhalten, aber es besteht die Gefahr eines Missbrauchs durch die Angreifer, die die Dateien abgezogen haben.
SonicWall ist dabei, alle betroffenen Partner und Kunden zu benachrichtigen, und hat Tools zur Verfügung gestellt, die bei der Gerätebewertung und -wiederherstellung helfen sollen. Aktualisierte und umfassende endgültige Listen der betroffenen Geräte sind jetzt im MySonicWall-Portal verfügbar (zu "Produktmanagement > Problemliste" navigieren). Details lassen sich dem verlinkten Support-Beitrag MySonicWall Cloud Backup File Incident entnehmen. The Register hat hier einige Sätze zum Thema verloren.
Ein Blog-Leser hat mir per E-Mail mitgeteilt, dass das Ganze ein riesiges Desaster sei. Die Liste der betroffenen Kundengeräte in nun von bisher 17 Geräten auf 112 angewachsen. Laut einer Liste, die dem Leser zur Verfügung gestellt wurde, sind die Backups bereits Anfang Juli 2025 bei Sonicwall "abhanden" gekommen.
Ähnliche Artikel:
MySonicWall Cloud Backup File Incident: Backup der Konfiguration offen gelegt
Akira hackt SonicWall VPN-Konten (auch mit MFA-Absicherung)
SonicWall SMA 100 Firmware-Update um Rootkits zu entfernen
Vorzeitige Beendigung des Supports für SonicWall SMA 100
MVP: 2013 – 2016
Das war leider zu erwarten – wir haben inzwischen auch eine entsprechende Mail erhalten.
Unmittelbar nach dem öffentlichen Bekanntwerden des Vorfalls bei BornCity hatten wir sämtliche VPN-Zugänge vor Ort gesperrt und die Admin-Passwörter gewechselt. Bereits am nächsten Tag wurden ALLE Credentials und VPN-Zugänge initial mit Zufallspasswörtern neu vergeben und der 2FA neu gemacht
Zur Info: Auch die Zertifikate, die intern für DPI-SSL (HTTPS Deep Packet Inspection) verwendet werden, sind selbstverständlich Teil des Backups.
Ein Hinweis zum Thema Cloud und Backups:
Die Cloud-Backups waren in diesem Fall sehr sinnvoll, da sie eine automatische, standortunabhängige Sicherung der Konfiguration ermöglichten. Ohne Cloud-Backup müsste die Firewall-Konfiguration manuell gesichert und verteilt werden werden – was in der Praxis häufig vergessen wird.
Uns als Sonicwall-Partner hat es auch erwischt… Wir hätten die Cloud-Backups nicht gebraucht, da wir jeden Monat ein Backup der Firewalls ziehen und der Firewall einer kleinen Wartungen unterziehen (Security Services, Lizenzen und Firmware überprüfen sowie die Logs grob überfliegen).
Ärgerlich ist, dass wir die Kunden wegen der ständigen SSL-VPN Hiobsbotschaften in der Vergangenheit bereits mehrfach genervt haben und jetzt erneut alles von vorne machen müssen. Und wir sprechen hier von hunderten SSL-VPN Zugängen.
Kunden die durch die SMA Abschaltung schon genervt sind, machen auch gerade keine Luftsprünge. Das Thema "Sonicwall" ist gerade ziemlich verbrannt.
Das Konzept der unverschlüsselten Firewall-Konfiguration fällt Sonicwall hier einfach voll auf die Füße.
Und das die Backups seit min. 3 Monaten weg sind (was erst seit gestern klar ist), ist eigentlich der Supergau, weil niemand garantieren kann, ob sich die Angreifer mit den erlangen Daten nicht bereits Backdoors eingebaut haben.
Der Laden ist so verbrannt… Seit JP weg ist, haben wir noch weniger Einfluss auf unsere Eskalationen. Allein der Wechsel auf Generation 7 war bei jedem Kunden ein Kraftakt. Funktionen die nur augenscheinlich funktionieren. Diverse Bugs bei den Securitydiensten… Dann bekommst mit ach und Krach einen Hotfix aufgedrückt, der weitere Folgen mit sich zieht. Erinnere mich da gerne an einen Vortrag bzw. Veranstaltung vor ein paar Jahren, wo Gen 7 als die größte Innovation aller Zeiten verkauft wurde. Da hatte ich die ersten Geräte bereits ausgerollt und nur stress mit denen. Das beste an der Veranstaltung war immernoch der Alkohol und die Floßfahrt ;)
Ich bin mittlerweile soweit, dass ich noch zwei andere Hersteller verscheppere. Mein Chef möchte auch von Sonicwall weg.
Wir hatten ne Sonicwall virtuell für eine Applikation.
Letzte Woche lahm gelegt das Ding.
Unfassbar was Sonicwall da abzieht.
Ich würde da im Leben kein einziges Produkt mehr kaufen.
Leider ein Hersteller weniger der durch PE gekillt wurde. SonicWalls mit OS6 sind und bleiben einer der mächtigsten Firewalls wenn es um Netzwerk Funktionalitäten geht, aber seit dem Versuch OS7 einzuführen sind sie tot. Die Allgemeinheit will gar nicht wissen was da im Hintergrund intern los war bei der OS7 Einführung. Aktuell ist leider der Markt für Firewall gelinde gesagt beschissen, es gibt einfach nichts brauchbares weil jedes Produkt von den oberen Rängen gottlos zerstört wird.
Unverschlüsselte Backups sind schon heftig und dann alle abgezogen worden…uhhh.
Wenn Angreifer schnell und gezielt vorgegangen sind, dann wird es noch sehr unangenehm.
Vielleicht bin ich naiv…aber in welcher Welt war es denn jemals eine gute Idee, Backups einer Unternehmensfirewall unverschlüsselt in der Cloud, Entschuldigung, ich meine natürlich auf anderer Leuts Computern, abzulegen?!?
Hat die Menschheit mittlerweile kollektiv den Verstand verloren?
1++ und ja, hat sie (wenn sie jemals einen hatte)
ist kein Problem, man muss ja nur eine gute Firewall davor setzen, dann ist alles sicher.
Nein, das ist nicht naiv. Machen zwar fast alle mittlerweile so, aber klug wird es dadurch dennoch nicht. Es ist sogar eher etwas grotesk überhaupt auf so eine Idee zu kommen… bei einer Firewall!
Selbst wenn das Backup verschlüsselt wird und der Key lokal bleibt, so stellt es faktisch eine Erhöhung der Angriffsfläche dar und das widerspricht imo komplett dem Konzept einer Firewall. Sieht man ja jetzt exemplarisch an diesem Fall.
Gilt so ziemlich für alles in der Cloud. Ich frage mich oft ob Geschäftsführern wirklich im Detail klar ist was es bedeutet wenn man zu Exchange Online umzieht.
Können die wirklich unbesorgt zulassen dass sämtliche E-Mail Kommunikation plötzlich bei jemand anderem liegt?
das war vermutlich eine KI Entscheidung, oder? So blöde können selbst Menschen nicht sein;-)
Geile Story :-D
Für die Betroffenen ist das eigentliche Problem – wie schon anderswo erwähnt – ja nicht nur der Verlust der Credentials.
Viel schlimmer ist, dass man den Angreifern mit den "unverschlüsselten" Config-Backups im Prinzip eine komplette Blaupause der Infrastruktur überlässt: Netzwerkzonen, Firewall- und NAT-Regeln, VPN-Konfigurationen, Zertifikate — alles schön übersichtlich auf dem Silbertablett.
Und Vorsicht: In diesen Regeln stehen keine kleinen Spielereien. Dort tauchen oft kritische, groß eingesetzte Systeme und exponierte Services auf — genau das, was ein Angreifer für gezielte, wirkungsvolle Angriffe braucht.
Damit sehen die Angreifer sofort, was vorhanden ist, wo alte Tunnel oder unsaubere Regeln liegen und welche Altlasten man jahrelang mit sich herumschleppt. Kurz gesagt: ein ideales Handbuch, um gezielt Schwachstellen auszunutzen.
Das wird in den nächsten Jahren sicher noch spannend — leider wohl nicht im positiven Sinne.
Lieferst du mit deinem Text nicht genau die Begründung, warum man seine Firewall Backups nicht in der Cloud ablegt? Wenn einem die Brisanz dieser Daten bewusst ist, ist es dann nicht eigentlich bereits fahrlässig?
Zitat:
"Die Backup-Dateien enthalten verschlüsselte Anmeldedaten und Konfigurationsdaten. Die Verschlüsselung bleibt zwar erhalten,"
—
Die Konfiguration wird aber nicht individuell verschlüsselt, sondern für alle Geräte einheitlich.
Man kann eine fremde "verschlüsselte" Konfiguration laden und das eigene Gerät entschlüsselt automatisch und zeigt die Konfiguration des fremden Gerätes im Klartext an.
In dem Export der Konfiguration ist ein eventuell geänderter Username und Passwort nicht enthalten und der Export wird auch nicht mit diesen geänderten Zugangsdaten verschlüsselt.
Man braucht lediglich die "Default Admin" Zugangsdaten zum "entschlüsseln":
Username: admin
Passwort: password
sonicwall-sales. com/help-advice-and-tech-info/default-ip-address-and-administrator-admin-username-and-password-for-all-sonicwall-appliances.html
heise. de/forum/p-45616994/
Wow, das wird ja immer lustiger. Mehr Fail geht ja kaum noch.
Ähnliche Fails gibt es auch in vielen IoT Geräten…
Das eigentliche Kind ist ja schon vorher in den Brunnen gefallen.
Wie dumm müssen Admins sein die Firewall Daten in einer (US) "Klaut" speichern?!
Da hält sich ein Mitleid dann sehr in Grenzen…
Backup in der Cloud ….. Backup-Dateien enthalten verschlüsselte Anmeldedaten und Konfigurationsdaten ….. welche für Dritte einsehbar waren. Tönt spannend!
Da waren bei den betroffenen Firmen offenbar wahre IT-Koniferen am Werk.
Was sagt uns das Ganze über die beruflichen Qualifikationen und die entsprechenden Fachkenntnisse der für Beschaffung und Unterhalt dieser Firewalls Verantwortlichen?
Das ist doch Quatsch. Woher soll der Admin wissen, wie Sonicwall die Cloud-Backups in die Cloud hochlädt und speichert. Es ist ja nicht zwingend gesagt, dass dies der selbe Vorgang wie das Exportieren der Konfiguration direkt auf der Firewall ist. Der Link zum Download von Backups aus der Cloud ist kryptisch hätte eine Art Entschlüsselung beim Download vermuten lassen. Jetzt sind wir alle schlauer – danke.
Moment? Verstehe ich das richtig, dass es die default Einstellung ist, dass die Backups in die Cloud gesichert werden?
Nein, das muss aktiv aktiviert werden.
Die "Koniferen" haben nicht mehr alle Nadeln an der Tanne ;-)
Zitat:
"Die Liste der betroffenen Kundengeräte in nun von bisher 17 Geräten auf 112 angewachsen."
—
Bezieht sich die Zahl 112 auf die Stückzahl der Geräte oder auf die Anzahl von verschiedenen Modellen oder auf die Anzahl von Kundenkonten?
Im ersten Fall frage ich mich, wie eine Firma wie MySonicWall überhaupt überleben kann, wenn sie insgesamt nur 112 Geräte verkauft hat, denn es sind ja schließlich "Alle Kunden betroffen" oder hatten alle übrigen Käufer die Backup-Funktion deaktiviert?
Im zweiten Fall frage ich mich, warum es 112 verschiedene Modelle einer Firewall gibt.
Falls es sich auf die Anzahl der Kundenkonten bezieht, dann hat vermutlich mancher Kunde mehrere dieser Geräte.
Jede Box muss in einem MySonicWall-Konto registriert sein, u.a. wegen den Lizenzen. Dienstleister fassen die Boxen ihrer Kunden oft in einem oder mehreren Accounts zusammen.
In diesen Accounts sind Listen mit Seriennummern betroffener Geräte aus der Menge der in diesem Account registrierten Boxen aufgeschaltet worden. Gelistet werden Boxen, welche nachweisbar betroffen sind, die Listen gibt es seit dem 17.9. wurden jetzt aber ergänzt.
Heisst im von Dir zitierten Fall, der betroffene Dienstleister hat jetzt 117 installierte Geräte und nicht mehr nur 12 die nachweisbar direkt vom Vorfall betroffen sind aus der Menge der Geräte welche er insgesamt registriert hat.
Und ja, manche Kunden haben mehrere Geräte, z.B. HA-Konfigurationen oder Ausstellen usf.
Ergänzung: Es sind "nur" Geräte betroffen bei denen die Cloud-Backup-Funktion aktiv war, registriert müssen aber alle sein.
Beim ersten Bekanntwerden hat uns Sonicwall eine Liste mit 17 betroffenen Firewalls zur Verfügung gestellt. Und nun wurde diese Liste auf auf insgesamt 112 Geräte erweitert. Jedes dieser Geräte ist eine Firewall auf der das Cloud Backup aktiviert war. Das ist einfach auch historisch bedingt. Wir sind ein Systemhaus und verkaufen Sonicwall schon seit über 10 Jahren. Somit gab es in dieser Zeit auch wechselnde Techniker. Der eine hat die Funktion aktiviert, der andere wiederum nicht. In unserem Fall betrifft es ca. 1/3 bis 1/4 der Kunden. Auf allen anderen Geräten war die Funktion nicht aktiviert. Und natürlich haben wir auch Kunden mit mehreren Geräten, aber ich differenziere hier nur nach Geräten und nicht nach Kunden, denn natürlich kann ein Kunde auch mehrfach betroffen sein.
Das wars wohl mit Sonicwall.
100% betroffen, aber zum Glück nur noch ein paar hier im Einsatz, die bereits vorgestern komplett alles neu gesetzt bekommen haben was relevant gewesen wäre.
Was für ein Fiasko.
Waren lange Zeit "gute" Geräte, aber zu Tode gewirtschaftet, in jedem Bereich.
Den Admins einen Vorwurf zu machen, sie seien naiv, das unverschlüsselte Cloud-Backup zu nutzen, ist unangebracht. Sonicwall selbst schreibt auf seiner Website:
"The settings file is not only transmitted securely but is encrypted individually while stored."
Offensichtlich ist das eine dreiste Lüge.