Eylül 2025’te SonicWall, bulut yedekleme hizmetinde bir veri ihlali bildirdi ve müşterilerinin %5’inden azının etkilendiğini belirtti. O dönemde sorun kontrol altına alınmış ve araştırılıyor gibi görünüyordu. SonicWall ve olay müdahale firması Mandiant’ın, saldırganların hizmeti kullanan her müşterinin yedek yapılandırma dosyalarına eriştiğini doğrulamasının ardından bu durum bugün değişti.
İhlal, şifrelenmiş güvenlik duvarı yapılandırma dosyalarını saklayan MySonicWall bulut yedekleme API’sini hedef alan kaba kuvvet saldırısıyla başladı. Bu dosyalar, SonicWall güvenlik duvarlarını geri yüklemek veya çoğaltmak için kullanılan ayrıntılı ağ kurallarını, kimlik bilgilerini ve yönlendirme verilerini içerir. Parolalar ve anahtarlar şifrelenmiş halde kalırken, saldırganlar artık müşteri ağlarının haritalanması veya kötüye kullanılması için değerli olabilecek tüm yapılandırma verilerini elinde tutuyor.
“Soruşturma, SonicWall’un bulut yedekleme hizmetini kullanan tüm müşterilerin güvenlik duvarı yapılandırma yedekleme dosyalarına yetkisiz bir tarafın eriştiğini doğruladı. Dosyalar şifrelenmiş kimlik bilgileri ve yapılandırma verileri içeriyor; şifreleme yerinde kaldığı sürece bu dosyalara sahip olmak, hedefli saldırı riskini artırabilir.”
SonicWall
SonicWall’ın nihai araştırma raporu, etkilenen cihazların güncellenmiş listesinin artık MySonicWall portalında mevcut olduğunu söylüyor. Müşteriler, güvenlik duvarlarının maruz kalma seviyesine bağlı olarak “Etkin – Yüksek Öncelikli”, “Etkin – Düşük Öncelikli” veya “Aktif Değil” olarak etiketlenip etiketlenmediğini görebilir.
Şirket ayrıca yeni izleme araçları ekledi, bulut altyapısını güçlendirdi ve ayrıntılı iyileştirme kılavuzu yayınladı. Müşterilerin, hangi yapılandırmaların anında incelenmesi gerektiğini belirlemek için sağlanan destek aracını kullanarak öncelikle internete yönelik hizmetlere sahip yüksek öncelikli cihazlara odaklanmaları önerilir.
SonicWall, sistemlerini güçlendirmek ve etkilenen müşterilere yardımcı olmak için Mandiant ile çalışmaya devam ettiğini açıkladı. Şirketin güncellenmiş iletişimi, bugüne kadarki en kapsamlı güvenlik olaylarından biri haline gelen olayın ardından şeffaflığı ve önlemeyi vurguluyor.
watchTowr Proaktif Tehdit İstihbaratı Başkanı Ryan Dewhurst, açığa çıkan verilerin türü nedeniyle ihlalin ciddi olduğunu söyledi. “Saldırganlar, güvenlik duvarı kuralları ve şifrelenmiş kimlik bilgileri de dahil olmak üzere hassas bilgilerden oluşan bir hazineye erişim sağladı” dedi. “Şifreler şifrelenmiş olsa bile, eğer zayıflarsa çevrimdışı olarak kırılabilirler. Ve bu olmasa bile konfigürasyon verileri, saldırganlara daha hedefli saldırılar planlamak için yeterli öngörü sağlar.”
Ayrıca bu kadar hassas verileri barındıran bir hizmetin neden temel koruyucu önlemlerden yoksun olduğunu da sorguladı. Dewhurst, “Bir API’ye yapılan kaba kuvvet saldırısı, hız sınırlama ve daha güçlü erişim kontrolleri tarafından engellenmeliydi” dedi.