详细内容或原文请订阅后点击阅览
SonicWall 云备份黑客是国家行为者的作品
Mandiant 的事件响应人员已完成对 SonicWall 云备份服务黑客攻击的调查,结论如下:罪魁祸首是国家支持的威胁行为者(尽管具体国家/地区并未披露)。 SonicWall 周二表示:“[该事件]与使用 API 调用从特定云环境未经授权访问云备份文件有关。该事件与正在进行的针对防火墙和其他边缘设备的全球 Akira 勒索软件攻击无关。” … 更多 →SonicWall 云备份黑客攻击是国家行为者的作品,首先出现在 Help Net Security 上。
来源:Help Net Security _云安全Mandiant 的事件响应人员已完成对 SonicWall 云备份服务黑客攻击的调查,结论如下:罪魁祸首是国家支持的威胁行为者(尽管具体国家/地区并未披露)。
“[该事件]与使用 API 调用从特定云环境未经授权访问云备份文件有关。该事件与正在进行的针对防火墙和其他边缘设备的全球 Akira 勒索软件攻击无关,”SonicWall 周二表示。
说据该公司称,此次泄露并未影响 SonicWall 产品、固件或其他内部系统、工具、源代码或客户网络。
攻击者是如何获得访问权限的?
SonicWall 于 2025 年 9 月上旬检测到可疑活动,特别是下载备份防火墙配置文件。9 月 17 日,该公司披露,攻击者已暴力破解其云备份服务。
最初,SonicWall 认为只有一小部分防火墙客户受到影响。然而,几周后,它证实所有备份文件都已被泄露。
相信 已确认这些文件中包含的凭据和机密已(并且可能仍然)加密,但 SonicWall 警告称,未加密的信息“可能使攻击者更容易利用相关防火墙”。
该公司敦促受影响的客户禁用或限制通过 WAN 对 HTTP/HTTPS 和 SSH 管理的访问; SSL VPN、IPSEC VPN、SNMP;通过 NAT/访问规则允许对内部服务的入站 WAN 访问。它还建议用户重置密码、为所有用户重新注册 TOTP、替换密钥、重置 API 令牌、生成新的 IAM 访问密钥并在 SonicWall 设置中更新它们等等。
及更多SonicWall 没有透露暴力破解活动何时开始,也没有透露他们花了多长时间才注意到。
在这里订阅!