SonicWall 與 Mandiant 共同完成針對近期入侵事件的調查,確認攻擊者曾未經授權存取 所有使用 MySonicWall 雲端備份服務的防火牆偏好設定檔。這意味事件影響範圍比先前預估更廣。SonicWall 早前曾表示僅約 5% 的防火牆設備受影響,但最新調查顯示,所有啟用雲端備份功能的客戶皆受到波及。
為強化防護並避免進一步風險,SonicWall 已發布 Essential Credential Reset 操作指引,要求用戶依「隔離、修復、監控」三階段進行補救,並暫停自動上傳備份功能。若用戶需存取既有備份資料,必須登入 MySonicWall 介面手動下載。官方強調,遭非法存取的偏好設定備份檔屬於設備完整設定快照,內含部分加密保護的敏感資訊,可讓攻擊者藉由分析環境策畫進一步滲透。雖然目前未發現其他 MySonicWall 服務或裝置受影響,但廠商仍建議受害環境全面更換憑證與共用金鑰,並依官方指引操作。
SonicWall 的修復程序要求用戶先進行 隔離行動,關閉或限制 WAN 管理介面、遠端連線與 VPN 功能,以防止外部入侵。接著在修復階段,逐一重設管理者密碼、IPSec 金鑰、LDAP/RADIUS 密碼與郵件帳號等認證資料,確保變更同步更新至所有關聯系統。官方提供兩種修復途徑:一是依知識庫手動更換密鑰與驗證資訊;另一是匯入 SonicWall 生成的更新偏好檔,內容已包含隨機密碼與新金鑰。完成修復後,用戶須持續監控稽核與登入紀錄,關注是否有異常變更或 VPN 連線事件,並調整告警設定,以強化後續偵測與回應能力。
