網路安全廠商 SonicWall 於 10 月 8 日更新上月披露的資安事件調查結果,確認所有曾使用該公司雲端備份服務的防火牆客戶均受影響,
與三週前聲稱的「少於 5%」形成強烈對比。攻擊者已存取所有客戶的防火牆配置備份檔案,雖然檔案採用 AES-256 加密,但資安專家警告,這將大幅降低攻擊者入侵企業防火牆的門檻。
SonicWall 在與 Google Cloud 旗下資安應變公司 Mandiant 完成調查後發布更新公告指出:「調查確認未經授權的第三方存取了所有曾使用 SonicWall 雲端備份服務客戶的防火牆配置備份檔案。」
從「少於 5%」到「100%」的劇烈修正
SonicWall 最初在 9 月 17 日發布的資安通告中表示,該事件「影響少於 5% 使用防火牆的客戶」。然而,經過三週的深入調查後,公司大幅修正影響範圍至 100%。
MySonicWall 是該公司提供的線上客戶入口網站,用於管理產品授權、韌體更新、技術支援,以及防火牆配置的雲端備份。備份檔案格式為 .EXP 檔,包含完整的防火牆設定資訊。
資安廠商 Action1 的現場技術長 Gene Moody 向外媒表示,調查初期通常會先提出初步的受影響範圍估計,隨著調查團隊深入分析日誌、存取模式和儲存系統,完整影響才逐漸清晰。「因為無法確切證實哪些資料遭竊,最安全的做法是假設所有潛在受影響的客戶都處於風險中。」
配置檔案外洩的實際風險
SonicWall 在更新公告中重申,外洩的檔案包含加密的憑證與配置資料。「雖然加密仍然有效,但這些檔案的外洩可能增加遭受針對性攻擊的風險。」該公司表示,目前尚未收到後續攻擊的實際案例報告。
防火牆配置檔案包含組織網路架構的關鍵資訊,包括安全政策規則、VPN設定、IPSec連線參數、使用者帳號,以及網路拓撲資訊。即使採用強大的 AES-256 加密,攻擊者仍可進行離線破解嘗試,或利用配置檔案中洩露的網路架構資訊設計更精準的攻擊策略。
受影響客戶應立即採取行動
SonicWall 已完成對所有受影響客戶的通知作業,並發布工具協助評估與修復。使用者現在可登入 MySonicWall 入口網站,前往「產品管理(Product Management)→ 問題清單(Issue List)」檢查自己的設備是否在受影響名單中。
如果該頁面顯示任何待處理的行動項目,使用者應立即遵循 SonicWall 提供的「必要憑證重置步驟(Essential Credential Reset)」,優先處理主動運作且面向網際網路的防火牆。該公司提供的關鍵修復程序包括:
- 重置所有本地使用者密碼與雙因素驗證:確保所有在防火牆上建立的使用者帳號都更換新密碼,並重新設定臨時存取碼(Time-based One-Time Password,TOTP)。
- 更新外部身分驗證伺服器密碼:如果防火牆與 輕量級目錄存取協定(LDAP)、遠端身分驗證撥入使用者服務(RADIUS)或 TACACS+ 伺服器整合,這些伺服器上的密碼需同步更新。
- 更新所有 VPN 政策共享金鑰:IPSec 站對站和群組 VPN 連線使用的預共享金鑰必須全面更換。
- 重置 API 金鑰與其他介面密碼:包括雲端安全邊緣(CSE)API 金鑰、WAN 介面密碼等。
台灣用戶面臨的挑戰與警示
SonicWall 在台灣市場具有一定佔有率,特別是中小企業客戶。資安專家建議台灣用戶除了立即執行修復步驟外,還應加強防火牆的監控與日誌分析,留意任何異常的存取嘗試。企業也應重新檢視雲端備份策略,評估是否需要採用本地端備份搭配離線儲存,或使用多層加密保護敏感配置資料。
這起事件凸顯資安供應鏈的脆弱性。
當企業依賴資安廠商提供的雲端服務進行關鍵資料備份時,廠商本身的安全性就成為整體防護鏈中的關鍵一環。Moody 強調,此次資料外洩事件再次提醒企業需要注意廠商的資安警示,定期輪換憑證,並嚴格禁止憑證重複使用。
SonicWall 表示,公司已實施額外的安全強化措施,並與 Mandiant 密切合作進一步增強雲端基礎設施與監控系統。雖然調查已完成,但系統管理員仍應持續監控 MySonicWall 的警示訊息,確保掌握最新的受影響設備清單。