SonicWall sufre brecha de información sensible
SonicWall, dado su compromiso con la transparencia, anunció que sufrió una brecha en algunas cuentas de su servicio de respaldo en la nube, MySonicWall, utilizado para respaldar archivos de configuración de diferentes servicios y dispositivos con SonicOS, principalmente firewalls.
Las consecuencias del incidente podrían ser severas dado que los respaldos expuestos pueden dar acceso a información sensible como credenciales o tokens a actores de amenaza. Este incidente afecta a todos los servicios y dispositivos de SonicWall que tuvieran el respaldo en la nube habilitado.
El incidente ocurrió debido a un ataque de fuerza bruta dirigido al servicio de API de MySonicWall, al cual los atacantes lograron tener acceso. Aunque las contraseñas almacenadas están encriptadas, el servicio también almacena información que podría facilitar ataques dirigidos a dispositivos de la marca, en especial firewalls y otros dispositivos de frontera (edge devices). Esta información podría revelar detalles sobre la arquitectura de red, reglas y políticas de las organizaciones afectadas, permitiendo a actores maliciosos recrear ambientes reales y realizar pruebas antes de realizar un ataque. Lo anterior es aún más relevante dado que se anunció que el grupo del ransomware Akira está llevando a cabo una campaña de ataques dirigida específicamente a dispositivos de SonicWall.
Aunque aún no se han reportado avistamientos de filtraciones al público por parte de los actores de amenaza, SonicWall recomienda llevar a cabo una ronda de actualización de contraseñas, llaves, tokens de autenticación, cuentas de VPN y secretos, no solo en los dispositivos afectados, sino también por parte de proveedores y servicios tipo LDAP o RADIUS, por mencionar algunos.
SonicWall también hizo algunas publicaciones con recomendaciones e instrucciones a seguir para contener, mitigar y monitorear el incidente.
Versiones Afectadas
|
Productos |
Versiones afectadas |
|
SonicWall Firewalls |
Todo dispositivo con respaldo en la nube MySonicWall habilitado. |
Recomendaciones
-
Se recomienda seguir la guía Essential Credential Reset, publicada por la misma SonicWall.
-
Llevar a cabo una ronda de actualización de credenciales, llaves, secretos y demás métodos de acceso configurados en los dispositivos afectados, así como en el resto de la red.
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Gatlan, S. (2025, September 17). SonicWall warns customers to reset credentials after breach. BleepingComputer. Recuperado el 17 de septiembre de 2025, en: https://www.bleepingcomputer.com/news/security/sonicwall-warns-customers-to-reset-credentials-after-MySonicWall-breach/
- Kapko, M. (2025, September 17). Attack on SonicWall’s cloud portal exposes customers’ firewall configurations. CyberScoop. Recuperado el 17 de septiembre de 2025, en: https://cyberscoop.com/sonicwall-cyberattack-customer-firewall-configurations/
- MySonicWall Cloud Backup File Incident. (2025, September 17). SonicWall. Recuperado el 17 de septiembre de 2025, en: https://www.sonicwall.com/support/knowledge-base/mysonicwall-cloud-backup-file-incident/250915160910330
