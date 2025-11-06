Een aanval op SonicWall waarbij de cloudback-ups van alle klanten werden gestolen, met daarin hun firewallconfiguratie, vond plaats door middel van een API call, aldus het cybersecuritybedrijf. Firewalls van SonicWall beschikken over een optie waardoor het mogelijk is om cloudback-ups van configuratiebestanden te maken. Deze bestanden bevatten versleutelde inloggegevens en configuratiegegevens. Aanvallers kunnen met deze informatie verdere gerichte aanvallen uitvoeren.

SonicWall meldde in september dat aanvallers via bruteforce-aanvallen toegang tot de back-ups van minder dan vijf procent van de firewall-klanten hadden gekregen. Een exact aantal getroffen klanten werd toen niet genoemd. Vorige maand kwam SonicWall met een update over het incident waarin het liet weten dat van alle klanten die van de cloudback-up gebruikmaken de firewall-bestanden waren gestolen. Daarnaast was de tekst over de bruteforce-aanvallen uit de omschrijving verwijderd. Er werd alleen gesproken over een "cloud backup security incident". Verdere details werden niet gegeven.

Inmiddels is SonicWall met een zeer korte update over het incident gekomen. Onderzoek dat het bedrijf liet uitvoeren door cybersecuritybedrijf Mandiant wijst uit dat de aanval het werk van een statelijke actor was, aldus de verklaring. Waarop dit is gebaseerd wordt niet vermeld. Ook laat het bedrijf niet weten welk land verantwoordelijk wordt gehouden. Verder was de datadiefstal uit de cloudomgeving mogelijk via een "API call", maar wederom ontbreekt verdere informatie.