SonicWall Minta Pelanggan Reset Kredensial Setelah Terjadi Pelanggaran Data

SonicWall memperingatkan pelanggannya untuk segera melakukan reset kredensial setelah terjadi insiden keamanan yang mengekspos file cadangan konfigurasi firewall di sejumlah akun MySonicWall.

Kronologi Insiden

Perusahaan mendeteksi adanya serangan yang menargetkan layanan API cloud backup melalui brute-force attack. Dari hasil investigasi, insiden ini hanya berdampak pada kurang dari 5% instalasi firewall SonicWall.

File cadangan yang terekspos memang berisi password terenkripsi, namun juga menyimpan informasi lain yang dapat dimanfaatkan penyerang untuk lebih mudah mengeksploitasi firewall.

SonicWall menegaskan insiden ini bukan ransomware, melainkan rangkaian serangan brute-force yang ditujukan untuk mengakses file preferensi cadangan perangkat. Hingga saat ini, belum ada indikasi file tersebut beredar di forum atau pasar gelap daring.

Risiko dan Dampak

File cadangan yang terekspos bisa mengandung data sensitif seperti:

• Kredensial pengguna & akun VPN
• API keys dan token autentikasi
• Shared secrets & encryption keys
• Informasi layanan eksternal (ISP, Dynamic DNS, email provider, remote IPSec VPN peer, hingga LDAP/RADIUS server)

Jika tidak segera direset, informasi tersebut berpotensi dimanfaatkan untuk mengakses jaringan internal, mengubah konfigurasi, atau melancarkan serangan lebih lanjut.

Panduan Mitigasi dari SonicWall

SonicWall merilis panduan resmi berupa Essential Credential Reset bulletin yang memuat daftar lengkap item yang perlu diperbarui. Beberapa langkah kritis yang direkomendasikan:

1. Menonaktifkan atau membatasi akses layanan dari WAN sebelum proses reset.
2. Mereset seluruh kredensial, token, dan API keys yang digunakan oleh pengguna, akun VPN, serta layanan lain.
3. Memeriksa aktivitas mencurigakan di jaringan untuk mendeteksi kemungkinan intrusi.

Konteks Tambahan

Insiden ini terjadi beberapa minggu setelah SonicWall menepis laporan terkait dugaan eksploitasi zero-day oleh kelompok ransomware Akira. Belakangan, dugaan itu terkonfirmasi terkait kerentanan kritis CVE-2024-40766 pada SSLVPN SonicOS, yang telah ditambal sejak November 2024.

Sumber: SonicWall