事件概述

SonicWall发布紧急公告，敦促客户重置所有登录凭证。此前研究人员发现MySonicWall的配置备份文件被意外暴露在公共存储中。

这些文件包含SonicOS设备使用的加密密码、预共享密钥和TLS证书，可能导致威胁行为者解密凭证并获取组织网络的未授权访问。

事件范围与影响

9月17日，SonicWall发布知识库文章，确认部分MySonicWall账户的防火墙配置备份文件曾被不当在线访问。

这些配置文件通常存储敏感元素，包括用户和组设置、VPN密钥、DNS数据和SSL证书。历史研究表明，勒索软件组织和国家级行为者都曾利用外泄的配置文件策划后续攻击。

虽然SonicWall已控制暴露范围并与执法部门合作，但公司警告使用云备份功能的组织应快速采取行动防止未授权访问。

受影响的序列号客户在登录MySonicWall时会看到信息横幅。对于未列出序列号但曾启用云备份的用户，后续将提供额外指导。

遏制措施

锁定面向广域网的管理服务

在重置密码前，SonicWall建议禁用所有面向广域网的管理服务：

• 在WAN接口上关闭HTTP、HTTPS和SSH访问
• 禁用SSL VPN和IPsec VPN服务
• 阻止SNMP v3以防止未授权访问
• 将入站NAT或访问规则限制为受信任IP地址

对于运行SonicOS 6.5.5.1或7.3.0的环境，可使用动态执行选项暂时封锁账户，直到应用新凭证。

凭证重置与修复

管理员应按以下步骤重置凭证：

• 重置所有本地用户和管理员密码，重新绑定基于TOTP的身份验证应用
• 轮换LDAP、RADIUS和TACACS+账户的共享密钥，适用时使用SHA-256哈希
• 更换IPsec站点到站点隧道和GroupVPN的所有预共享密钥，确保更新远程网关
• 与ISP协调更新WAN接口凭证（如L2TP、PPPoE、PPTP、蜂窝网络）
• 更新全局管理系统（GMS）IPSec管理隧道模式的加密密钥

云集成服务（包括动态DNS、Clearpass NAC和电子邮件自动化服务）也应更新密码。从SonicWall接收新"偏好文件"的组织必须导入文件，然后在创建新备份前重新配置所需设置。

监控与持续防御

修复后，管理员应逐步重新启用服务，并使用更新后的凭证测试每个服务。持续监控至关重要：

• 使用Monitor → Logs → System Logs和Audit Logs识别失败的登录或异常配置更改
• 将日志导出为CSV进行详细审查，或通过TLS 1.2上的Syslog将数据安全转发到SIEM工具
• 审计SSH密钥和自动化脚本，确保它们仅引用新凭证

这些步骤有助于保护网络边界防御，防止任何先前暴露的配置数据被利用。

更广泛的影响

此事件凸显了保护云管理防火墙配置和维护严格凭证卫生的重要性。

防火墙备份通常包含企业网络边界的关键信息；其泄露可能让对手了解身份验证方法、VPN访问和受信任的集成。

定期轮换凭证、分段管理访问和监控可疑身份验证尝试，可以降低未来暴露的风险。