Gestohlene Credentials, kompromittierte Backups – was Unternehmen jetzt wissen müssen
Sonicwall ist gleich doppelt von Sicherheitsvorfällen betroffen. Seit dem 4. Oktober 2025 registrieren Sicherheitsforscher gezielte Angriffe auf Sonicwall-SSLVPNs, bei denen Cyberkriminelle gestohlene Zugangsdaten nutzen, um sich in Kundensysteme einzuloggen. Parallel kam es zu Brute-Force-Angriffen auf das MySonicWall-Kundenportal – mit Zugriff auf Cloud-Backups von Firewalls. Beide Vorfälle verdeutlichen, wie gefährlich Credential-Stealing für vernetzte Systeme geworden ist.
Angriffe auf Cloud-Backups
Laut Huntress wurden bisher über 100 Sonicwall-Konten bei 16 Kunden kompromittiert. Dabei nutzten die Angreifer gültige Zugangsdaten, um sich über SSLVPN-Schnittstellen einzuloggen. In einigen Fällen erfolgte nach der Anmeldung kein weiterer Angriff, in anderen wurden Netzwerkscans durchgeführt und lokale Windows-Konten angegriffen. Besonders kritisch: Auch Cloud-Backups im MySonicWall-Portal wurden kompromittiert – inklusive Firewall-Konfigurationen und gespeicherter Zugangsdaten.
Risiko für betroffene Kunden
Die gespeicherten Backups sind zwar mit AES-256 verschlüsselt, doch sobald Angreifer über gültige Zugangsdaten verfügen, können sie potenziell Konfigurationen verändern oder sensible Daten abgreifen. Administratoren sollten deshalb umgehend prüfen, ob ihre Konten betroffen sind – insbesondere, wenn Cloud-Backups aktiviert sind.
Empfohlene Sofortmaßnahmen
Sonicwall rät betroffenen Unternehmen dringend:
- Zugangsdaten sofort zurücksetzen und Priorität auf internetverbundene Firewalls legen.
- WAN-Zugriff einschränken oder deaktivieren, bis die Bedrohung eingedämmt ist.
- HTTP/HTTPS-, SSH-, VPN- und SNMP-Zugriffe nur intern erlauben.
- SonicOS-Versionen 6.5.5.1 oder 7.3.0 einspielen, da diese Schutzfunktionen für kompromittierte Konten enthalten.
Betroffene Kunden können zudem im MySonicWall-Portal unter „Product Management“ → „Issue List“ einsehen, ob ihre Seriennummern im Zusammenhang mit den Vorfällen stehen.
Cloud-Sicherheit im Fokus
Credential-Stealing zählt laut Advens Threat Status Report 2025 weiterhin zu den häufigsten Angriffsvektoren. Besonders Cloud-Portale und zentrale Management-Interfaces stehen im Visier. Der Fall Sonicwall zeigt: Wer Cloud-Backups nutzt, sollte nicht nur auf Verschlüsselung setzen, sondern vor allem auf mehrstufige Authentifizierung, Überwachung und regelmäßige Incident-Response-Tests.
Fazit: Zugriffe härten, Reaktion trainieren
Die aktuellen Vorfälle verdeutlichen, dass gestohlene Zugangsdaten selbst starke Verschlüsselung aushebeln können. Cloud-Backup-Lösungen müssen deshalb konsequent nach Zero-Trust-Prinzipien abgesichert werden. Unternehmen, die MySonicWall nutzen, sollten jetzt ihre Sicherheitsarchitektur überprüfen und sicherstellen, dass auch im Ernstfall schnelle Incident-Response-Prozesse greifen – bevor Angreifer es tun.
