A SonicWall concluiu, em parceria com a Mandiant, a investigação sobre um incidente que afetou seu serviço de cloud backup. A análise confirmou que um ator não autorizado obteve acesso aos arquivos de backup de configuração de firewalls de todos os clientes que utilizam o serviço em nuvem da empresa.
Esses arquivos incluem credenciais criptografadas e dados de configuração. Embora a criptografia permaneça intacta, a posse desses arquivos pode elevar o risco de ataques direcionados. Portanto, a SonicWall está notificando todos os parceiros e clientes afetados e disponibilizou ferramentas de verificação e remediação no portal MySonicWall.
Além disso, a empresa implementou novas medidas de fortalecimento da segurança e está aprimorando o monitoramento de sua infraestrutura em nuvem.
Como identificar dispositivos afetados
Os clientes devem acessar o portal MySonicWall e navegar até Product Management > Issue List para verificar se seus dispositivos constam na lista atualizada de impacto.
Os equipamentos são classificados em três níveis de prioridade:
-
Active – High Priority: dispositivos com serviços voltados à internet habilitados;
-
Active – Lower Priority: dispositivos ativos sem exposição direta à internet;
-
Inactive: equipamentos que não se conectam à nuvem há mais de 90 dias.
Recomenda-se verificar imediatamente os firewalls classificados como “Active – High Priority”, já que eles estão mais suscetíveis a ataques. Caso o campo “backup details” esteja vazio, o dispositivo não corre risco.
Os clientes cujos números de série apareçam na lista devem seguir as orientações de contenção e remediação, começando pela redefinição de credenciais e revisão de todos os serviços habilitados antes ou durante o backup.
A SonicWall também disponibilizou documentação técnica detalhada, incluindo o Essential Credential Reset e o Remediation Playbook, para orientar o processo de mitigação.
Entendendo os arquivos de backup e suas proteções
Os arquivos de backup da SonicWall possuem extensão .EXP e armazenam um instantâneo completo da configuração do firewall, incluindo credenciais e segredos. Em equipamentos da Geração 7 ou superior, esses dados sensíveis são protegidos com criptografia AES-256, garantindo que senhas e chaves não sejam legíveis mesmo em caso de acesso indevido.
Vale destacar que o conteúdo geral do arquivo é apenas codificado, não criptografado. Assim, detalhes de configuração podem ser decodificados facilmente, mas as credenciais permanecem protegidas por criptografia individual.
Durante o processo de backup em nuvem, o arquivo é transmitido por HTTPS ao serviço MSW Cloud Backup API, onde passa por criptografia adicional e compressão antes de ser armazenado. Ao ser baixado novamente, o arquivo tem apenas a camada externa de criptografia removida, mantendo os segredos internos protegidos.
Portanto, embora os invasores tenham obtido cópias dos backups, não há evidências de quebra da criptografia nem de vazamento de credenciais utilizáveis até o momento.
Ações recomendadas para clientes e parceiros
A SonicWall recomenda uma série de ações imediatas para reduzir riscos e fortalecer a segurança:
-
Acessar o portal MySonicWall e confirmar se há backups em nuvem vinculados aos seus dispositivos;
-
Priorizar a análise dos firewalls ativos expostos à internet;
-
Redefinir todas as credenciais de serviços configurados antes ou durante o backup afetado;
-
Revisar configurações de serviços críticos, como VPN, SNMP e autenticação administrativa;
-
Utilizar as ferramentas online de remediação oferecidas pela SonicWall para identificar serviços que precisam de atenção;
-
Monitorar periodicamente o portal MySonicWall para atualizações na lista de dispositivos impactados.
Além disso, a empresa orienta que, em caso de dúvidas, os administradores abram um chamado junto ao Suporte Técnico da SonicWall diretamente pela conta MySonicWall.
Reforço na postura de segurança
Desde a detecção inicial da atividade suspeita em setembro de 2025, a SonicWall adotou uma postura de resposta rápida e transparente. O envolvimento da Mandiant na investigação trouxe credibilidade técnica e independência ao processo.
A empresa afirma que o incidente não envolveu ransomware, mas sim tentativas de força bruta contra o serviço de backup em nuvem. Apesar do acesso não autorizado, menos de 5% dos firewalls registrados apresentaram impacto confirmado.
Por fim, a SonicWall destaca que continuará aprimorando seus mecanismos de segurança em nuvem, auditoria e monitoramento proativo, buscando prevenir novas ocorrências e proteger a base global de clientes.
Conclusão
O incidente da SonicWall reforça um ponto crucial para administradores de segurança: mesmo configurações armazenadas de forma legítima podem se tornar um vetor de risco quando expostas em nuvem. É essencial revisar continuamente as práticas de backup, aplicar o princípio do menor privilégio e manter credenciais rotacionadas.
Embora a criptografia dos arquivos tenha evitado uma exposição direta de credenciais, o episódio serve como alerta sobre a importância de governança e visibilidade contínua na gestão de dispositivos críticos.
About The Author
