Insiden melibatkan seluruh pengguna layanan cloud backup MySonicWall, dengan potensi risiko eksploitasi konfigurasi firewall
9 Oktober 2025 — SonicWall telah mengonfirmasi bahwa seluruh pelanggan yang menggunakan layanan cloud backup perusahaan terdampak oleh insiden kebocoran data yang terjadi bulan lalu. Dalam pembaruan terbaru, SonicWall menyatakan bahwa pihak ketiga yang tidak berwenang berhasil mengakses file cadangan konfigurasi firewall milik semua pelanggan layanan tersebut.
Sebelumnya, SonicWall hanya menyebutkan bahwa insiden tersebut “mengekspos file konfigurasi firewall yang tersimpan di akun tertentu dalam portal MySonicWall,” tanpa memberikan rincian lebih lanjut.
Kronologi dan Temuan Investigasi
Menurut laporan perusahaan, pelanggaran ini terjadi pada pertengahan September, di mana aktor jahat memperoleh akses ke sistem penyimpanan cloud backup. Dalam penyelidikan yang dilakukan bersama firma keamanan siber Mandiant, SonicWall memastikan bahwa semua pelanggan yang menggunakan portal cloud backup terpengaruh oleh insiden ini.
“Investigasi telah selesai dan mengonfirmasi bahwa pihak tidak berwenang berhasil mengakses file cadangan konfigurasi firewall untuk seluruh pelanggan layanan cloud backup SonicWall,” tulis perusahaan dalam buletin resminya.
File yang terekspos dilaporkan berisi data konfigurasi dan kredensial terenkripsi AES-256, termasuk parameter jaringan dan informasi autentikasi yang sensitif.
Risiko dan Langkah Mitigasi
SonicWall memperingatkan bahwa akses ke file konfigurasi ini dapat mempermudah upaya eksploitasi firewall oleh penyerang, karena berisi detail penting mengenai kebijakan jaringan dan koneksi VPN.
Sebagai tindakan pencegahan, perusahaan telah menerbitkan daftar langkah pemulihan penting (Essential Credential Reset) yang wajib diikuti oleh administrator jaringan. Langkah-langkah utama meliputi:
- Reset dan pembaruan password seluruh pengguna lokal.
- Reset kode akses sementara (TOTP) untuk autentikasi dua faktor.
- Pembaruan password pada server LDAP, RADIUS, dan TACACS+.
- Pembaruan shared secret pada kebijakan IPSec site-to-site dan GroupVPN.
- Reset Cloud Secure Edge (CSE) API key.
- Pembaruan kredensial SNMPv3, AWS keys, dan WWAN connection passwords bila digunakan.
Administrator juga disarankan untuk memprioritaskan firewall yang aktif dan terhubung langsung ke internet, serta terus memantau portal MySonicWall untuk pembaruan lebih lanjut.
Cara Memeriksa Perangkat yang Terkena Dampak
Pelanggan dapat memeriksa status perangkat mereka melalui portal MySonicWall dengan membuka menu:
Product Management → Issue List.
Jika terdapat action items yang tertunda, pengguna diminta segera melakukan prosedur reset kredensial sesuai panduan resmi.
Meskipun SonicWall menyatakan penyelidikan telah selesai, perusahaan tetap mengimbau administrator untuk memantau notifikasi dan pembaruan keamanan secara berkala, guna memastikan tidak ada sistem yang tersisa dalam kondisi rentan.
Sumber: SonicWall