Der US-Cybersecurity-Spezialist SonicWall hat diese Woche einen dringenden Sicherheitsalarm ausgelöst: Unbekannte verschafften sich Zugang zu Firewall-Konfigurationsdateien in der MySonicWall-Cloud. Das Unternehmen fordert betroffene Kunden zum sofortigen Passwort-Reset auf.

Die Angreifer nutzten Brute-Force-Methoden, um sich Zugang zu den Cloud-gespeicherten Backup-Dateien zu verschaffen. Dabei erbeuteten sie zwar verschlüsselte Zugangsdaten, aber auch hochsensible Netzwerk-Konfigurationen – eine Art digitaler Bauplan für weitere Cyberangriffe.

Begrenzte Zahl von Kunden betroffen

SonicWall betont, dass weniger als fünf Prozent der installierten Firewalls von dem Vorfall betroffen seien. Doch Sicherheitsexperten warnen: Die gestohlenen Konfigurationsdateien enthalten weit mehr als nur Passwörter.

VPN-Einstellungen, Firewall-Regeln und Netzwerk-Strukturen geben Angreifern präzise Einblicke in die Unternehmens-IT. Ein Schatz für Cyberkriminelle, der künftige Attacken erheblich erleichtert.

Die Firma versichert, es handle sich nicht um einen Ransomware-Angriff. Bislang seien die gestohlenen Daten auch nicht im Dark Web aufgetaucht.

Systematischer Angriff auf API-Schnittstelle

Die Attacke richtete sich gezielt gegen die API-Schnittstelle des Cloud-Backup-Dienstes. Durch systematisches Ausprobieren von Millionen Nutzername-Passwort-Kombinationen gelang es den Angreifern, sich Zugang zu verschaffen.

Sobald SonicWall den Einbruch bemerkte, kappte das Unternehmen den Zugang der Angreifer und schaltete ein externes Sicherheitsunternehmen ein. Auch Behörden wurden informiert.

Umfassender Neustart aller Zugangsdaten

SonicWall hat einen dreistufigen Notfallplan aktiviert: Eindämmung, Bereinigung und Überwachung. In der ersten Phase sollen Administratoren den Internet-Zugang zu ihren Firewalls vorübergehend sperren.

Die Bereinigungsphase ist aufwendig: Alle Passwörter, API-Schlüssel und Authentifizierungs-Token müssen erneuert werden. Das betrifft Nutzerkonten, VPN-Zugänge und Verbindungen zu Diensten wie LDAP oder RADIUS.

Um den Prozess zu beschleunigen, stellt SonicWall betroffenen Kunden neue Konfigurationsdateien mit randomisierten Passwörtern zur Verfügung. Der Import führt allerdings zu Systemneustarts und temporären Ausfällen.

Warnsignal für die gesamte Branche

Der Vorfall zeigt die Risiken cloud-basierter Backup-Lösungen auf – selbst bei verschlüsselten Daten. Experten befürchten, dass schwache Originalpasswörter offline geknackt werden könnten.

Für SonicWall ist es bereits der zweite größere Sicherheitsvorfall in jüngster Zeit. Zuvor hatte die Akira-Ransomware-Gruppe eine VPN-Schwachstelle ausgenutzt. Ein Zeichen für den wachsenden Druck auf Netzwerk-Sicherheitsanbieter.

Die Cybersecurity-Community beobachtet nun, ob die gestohlenen Daten im Dark Web auftauchen. Der Vorfall dürfte zu strengeren Sicherheitsstandards für Cloud-Management-Plattformen führen.