Published on

SonicWall Exige Troca de Senhas Após Vazamento de Dados

Authors

SonicWall Urges Password Resets After Cloud Backup Breach Affecting Under 5% of Customers

18 de setembro de 2025 - A SonicWall está solicitando que clientes redefinam credenciais após arquivos de backup de configuração de firewall terem sido expostos em uma violação de segurança que afetou contas do MySonicWall.

A empresa detectou atividade suspeita direcionada ao serviço de backup em nuvem para firewalls, onde atacantes desconhecidos acessaram arquivos de preferência de backup armazenados na nuvem para menos de 5% dos clientes.

Embora as credenciais nos arquivos estivessem criptografadas, as informações incluídas poderiam facilitar que atacantes explorassem o firewall relacionado. A empresa não tem conhecimento de vazamento desses arquivos online e confirmou que não se trata de um evento de ransomware.

O incidente envolveu uma série de ataques de força bruta para obter acesso aos arquivos de preferência armazenados em backup. A origem do ataque permanece desconhecida.

Medidas recomendadas pela SonicWall:

  • Verificar no MySonicWall.com se backups em nuvem estão ativados
  • Verificar se números de série afetados foram sinalizados nas contas
  • Limitar acesso a serviços da WAN
  • Desativar acesso HTTP/HTTPS/SSH Management
  • Desabilitar acesso SSL VPN e IPSec VPN
  • Redefinir senhas e TOTPs salvos no firewall
  • Revisar logs e alterações recentes de configuração

Clientes afetados também devem importar novos arquivos de preferência fornecidos pela SonicWall, que incluem:

  • Senhas randomizadas para todos os usuários locais
  • Redefinição de vinculação TOTP
  • Chaves IPSec VPN randomizadas

Contexto adicional:

O disclosure ocorre enquanto atores de ameaças afiliados ao grupo ransomware Akira continuam visando dispositivos SonicWall não corrigidos, explorando uma falha de segurança de um ano (CVE-2024-40766, pontuação CVSS: 9.3).

Recentemente, a Huntress detalhou um incidente onde atacantes usaram códigos de recuperação em texto simples do software de segurança para contornar autenticação multifatorial (MFA), suprimir visibilidade de incidentes e tentar remover proteções de endpoint.