防火墙云备份遭未授权访问 SonicWall提醒用户立即采取应对措施

SonicWall通知其用户，存储在MySonicWall账户中的防火墙云端配置文件备份曾遭到未经授权的访问。这些文件包含密码、密钥及其他敏感信息，一旦落入攻击者手中，可能降低渗透防火墙的难度。SonicWall表示，事件发现后已关闭未授权的访问点，并与国际执法及安全机构展开调查，同时要求受影响的用户立即执行隔离与凭证重置。

官方强调，影响范围仅限于有将配置文件备份至MySonicWall的防火墙。用户可登录MySonicWall确认状态，若账号页面以提示横幅标示受影响的序列号，代表这些防火墙必须立即采取修复步骤；当账号未显示受影响序列号，但过去确实使用过云端备份，SonicWall将在后续提供判断方式。

官方提供的标准流程为先隔离（Containment），再修复（Remediation）。管理员应先停用或限制来自外网的管理访问，仅允许可信来源通过HTTP/HTTPS、SSH、SSLVPN、IPsec VPN或SNMP连接。完成隔离后，必须全面更新本地账号密码、重新绑定TOTP、多项密钥与共享密码，包括IPsec预共享密钥、LDAP或RADIUS集成密码、SNMPv3用户凭证、DDNS账号、邮件与FTP服务密码，以及无线网络的预共享密钥。

对于需要快速完成更新的环境，SonicWall提供一份可选的修订配置文件，其中已自动随机化本地用户密码与IPsec密钥，并重置TOTP绑定。导入后防火墙会立即重启，用户需重新登录并设置多因素验证。在完成密钥与密码重新配置前，IPsec VPN 用户访问将暂时中断，官方建议安排在维护时段进行。

官方说明，事件影响少于整体防火墙安装基数的5%，目前未发现备份文件遭外泄，事件为针对云端备份服务的暴力破解，非勒索事件。

本次事件后续处理不仅涉及账号密码的更新，用户还需针对跨站VPN、目录服务集成与邮件通知等依赖SonicOS配置文件的服务进行全面排查与同步。完成相关设置重置与同步后，官方建议建立新的备份基准，以确保未来恢复及运维作业的一致性。

目前SonicWall已在官方事件页面持续更新最新情况，并提供技术文档与支持服务，受影响用户可通过MySonicWall账号提交工单，获得专人协助。