SonicWall signale que les configurations de pare-feu de tous ses clients utilisant les sauvegardes cloud peuvent avoir été exposées.
SonicWall a confirmé que tous les clients utilisant son service de sauvegarde cloud sont affectés par l’incident de sécurité du mois dernier. Auparavant, l’entreprise avait seulement signalé que « les fichiers de configuration de pare-feu de certains comptes MySonicWall pouvaient avoir été exposés », sans donner de détails supplémentaires.
Sauvegardes de pare-feu exposées
Le service de sauvegarde cloud de SonicWall est utilisé pour stocker les configurations de pare-feu dans des fichiers appelés .EXP. Ces configurations contiennent des paramètres, des clés et des données d’authentification. Lors de l’enquête, il s’est avéré qu’un acteur non autorisé avait obtenu l’accès à toutes les sauvegardes de pare-feu stockées dans le cloud.
Bien que les fichiers soient chiffrés avec le chiffrement AES-256 avancé, SonicWall avertit que les informations exposées peuvent être exploitées pour pénétrer plus facilement dans les pare-feu.
Les utilisateurs doivent réinitialiser les mots de passe et les clés
SonicWall recommande à tous les clients de renouveler immédiatement tous les mots de passe, clés API et jetons d’authentification. L’entreprise a publié selon Bleeping Computer une liste de contrôle détaillée avec des étapes cruciales :
- modifier les mots de passe des utilisateurs locaux
- réinitialiser les codes d’accès temporaires (TOTP)
- mettre à jour les clés partagées dans les politiques IPSec et VPN
- modifier les mots de passe dans les interfaces WAN L2TP/PPPoE/PPTP
- configurer une nouvelle clé API Cloud Secure Edge
De plus, SonicWall demande aux administrateurs de donner la priorité aux pare-feu et de vérifier régulièrement la liste des problèmes dans le portail MySonicWall pour identifier les risques. L’enquête est terminée, mais SonicWall recommande encore de continuer à suivre les alertes de sécurité dans les semaines à venir.