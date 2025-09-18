En faisant usage du brute force, des pirates sont parvenus à accéder aux données de comptes MySonicWall. Grâce à cet accès, ils ont pu mettre la main sur des fichiers de configuration de pare-feu de SonicWall appartenant à des clients !

Des fichiers de configuration de firewalls dans la nature...

L'éditeur de solutions de cybersécurité SonicWall a publié un nouveau bulletin d'alerte, non pas pour évoquer une faille de sécurité logicielle, mais un incident de sécurité lié à la plateforme MySonicWall.

"Les équipes de sécurité de SonicWall ont récemment détecté une activité suspecte ciblant le service de sauvegarde Cloud pour les pare-feux, que nous avons confirmée comme un incident de sécurité au cours des derniers jours.", peut-on lire.

Ici, il ne s'agit pas de la compromission de l'infrastructure de SonicWall, ni même d'un compte administrateur de la plateforme. En effet, les pirates sont parvenus à accéder aux données d'un ensemble de clients grâce à une technique basique : le brute force, sur l'API de la plateforme.

"Il ne s'agissait pas d'un ransomware ou d'un événement similaire pour SonicWall, mais plutôt d'une série d'attaques par force brute visant à obtenir l'accès aux fichiers de préférence stockés dans les sauvegardes en vue d'une utilisation ultérieure potentielle par les acteurs de la menace.", précise SonicWall. Ce qu'il faut comprendre, c'est que les pirates sont parvenus à accéder aux comptes MySonicWall de clients et à récupérer des fichiers de configuration de pare-feu !

Ces fichiers de configuration, sauvegardés via la fonction Cloud Backup, peuvent exposer des informations sensibles : identifiants (avec les mots de passe chiffrés), jetons, clés de chiffrement, etc... Pour les entreprises concernées, il est urgent d'agir, et vite ! Les attaquants pourraient exploiter ces informations pour compromettre les firewalls, notamment si l'interface de gestion est ouverte sur Internet ou s'il y a un accès VPN configuré.

"Notez que les mots de passe, les secrets partagés et les clés de chiffrement configurés dans SonicOS peuvent également devoir être mis à jour ailleurs, notamment auprès du fournisseur d'accès à Internet, du fournisseur de DNS dynamique, du fournisseur de messagerie électronique, de l'homologue VPN IPSec distant ou du serveur LDAP/RADIUS, pour n'en citer que quelques-uns.", précise SonicWall.

Même si SonicWall se veut rassurant en affirmant que moins de 5% de sa base de pare-feu est concernée, l'impact potentiel est important.

Un appel urgent à la réinitialisation des identifiants

Face à la gravité de la situation, SonicWall a publié un guide complet pour aider les administrateurs de firewalls SonicWall à faire face à cette situation. Ils indiquent ce qu'il faut faire pour se protéger, en fonction des services configurés sur le firewall. Cette liste de vérifications et d'actions visent à minimiser les risques de compromission.

Le plus urgent : désactiver ou restreindre l'accès aux services depuis l'extérieur du réseau (WAN). Il convient aussi d'effectuer une rotation des mots de passe des comptes privilégiés. Il est également important de réinitialiser le mot de passe du compte MySonicWall.

Enfin, SonicWall affirme n'avoir aucune preuve que les fichiers aient déjà fuité en ligne, mais la prudence reste de mise.

Source