Firewallfabrikant Sonicwall zwaar getroffen door lek

Aanvankelijk verklaarde SonicWall dat slechts een klein deel van de back-upgegevens was aangetast – enkele procenten, volgens de eerste schatting. Inmiddels blijkt dat de schade veel omvangrijker is: alle data zijn getroffen. Beheerders doen er goed aan onmiddellijk in te grijpen.

Midden september meldde firewallfabrikant SonicWall een inbraak in zijn cloudomgeving, waarbij configuratieback-ups van klanten zijn gekopieerd. Aanvankelijk ging het bedrijf ervan uit dat slechts circa vijf procent van de klanten was getroffen – een beperkte impact, zo leek het. Die inschatting is inmiddels herzien: alle klanten blijken te zijn geraakt en moeten passende maatregelen nemen.

Zoals SonicWall in de eerste waarschuwing al toelichtte, betreft het klanten die de optionele back-upfunctie gebruiken – een dienst waarmee firewallconfiguraties automatisch in de cloud van de fabrikant worden opgeslagen. In samenwerking met incidentresponse-specialist Mandiant, een dochterbedrijf van Google, onderzocht SonicWall het incident nader. Uit dat onderzoek blijkt nu dat alle gebruikers van deze clouddienst zijn getroffen – zonder uitzondering.

SonicWall roept daarom alle klanten en partners dringend op om de mogelijke gevolgen van het datalek te beperken. Gebruikers dienen zich aan te melden bij het SonicWall-portaal en al hun apparaten – bij voorkeur in volgorde van prioriteit – grondig te controleren. Het bedrijf heeft hiervoor een uitgebreide handleiding gepubliceerd die beheerders stap voor stap door de noodzakelijke maatregelen leidt – bedoeld om aanvallers zo min mogelijk ruimte te geven.

Er zijn inmiddels eerste aanvallen vastgesteld – aanwijzingen wijzen erop dat de ransomwaregroep Akira en mogelijk ook andere cybercriminelen beschikken over kopieën van de buitgemaakte back-upbestanden. Die informatie lijkt al te worden ingezet in lopende aanvalscampagnes, wat de urgentie voor snelle maatregelen voor beheerders verder onderstreept.

Het incident benadrukt opnieuw hoe kwetsbaar beheerde cloudoplossingen kunnen zijn wanneer configuratiegegevens buiten de eigen infrastructuur worden opgeslagen – zelfs beveiligingsfabrikanten blijken niet immuun voor zwakheden in hun eigen keten. Voor beheerders is dit een duidelijke waarschuwing: gebruiksgemak mag nooit zwaarder wegen dan de controle over essentiële systeeminformatie.