Akun VPN SonicWall Diretas Melalui Kredensial Curian dalam Serangan Skala Besar
Lebih dari 100 akun SSLVPN dikompromikan, para peneliti mendeteksi aktivitas lateral dan pemindaian jaringan aktif
Oktober 2025 — Para peneliti keamanan dari Huntress memperingatkan adanya kampanye serangan besar-besaran yang menargetkan perangkat SonicWall SSLVPN menggunakan kredensial sah yang dicuri, bukan melalui brute-force.
Menurut laporan Huntress, serangan ini mulai terdeteksi pada 4 Oktober 2025 di berbagai lingkungan pelanggan mereka dan masih berlangsung hingga 10 Oktober.
“Penyerang melakukan autentikasi secara cepat ke banyak akun di berbagai perangkat yang dikompromikan,” jelas tim Huntress. “Kecepatan dan skalanya menunjukkan bahwa mereka memiliki kredensial yang valid, bukan menebak sandi secara brute-force.”
Lebih dari 100 akun SonicWall SSLVPN di 16 lingkungan berbeda terkonfirmasi telah diretas. Dalam beberapa kasus, pelaku segera memutus koneksi setelah berhasil login, sementara di kasus lain mereka melanjutkan dengan pemindaian jaringan dan upaya akses ke akun Windows lokal.
Sebagian besar permintaan jahat ini dilacak berasal dari alamat IP 202.155.8[.]73.
Tidak Terkait dengan Kebocoran Konfigurasi Cloud SonicWall
Huntress menegaskan bahwa tidak ada bukti yang mengaitkan serangan ini dengan insiden kebocoran sebelumnya yang melibatkan file konfigurasi firewall SonicWall dari pelanggan layanan cloud backup.
Meski file tersebut berisi data sensitif, SonicWall menjelaskan bahwa semua kredensial di dalamnya dienkripsi secara individual menggunakan algoritma AES-256, sehingga tidak dapat langsung digunakan oleh pihak ketiga tanpa proses dekripsi yang kompleks.
Langkah Mitigasi Resmi dari SonicWall
SonicWall telah merilis daftar tindakan mitigasi yang wajib dilakukan administrator sistem:
- Reset dan perbarui semua kata sandi pengguna lokal dan kode akses sementara.
- Ubah kredensial di server LDAP, RADIUS, atau TACACS+.
- Perbarui rahasia pada semua kebijakan IPSec site-to-site dan GroupVPN.
- Reset serta ubah kata sandi antarmuka L2TP/PPPoE/PPTP WAN.
Rekomendasi Tambahan dari Huntress
Selain itu, Huntress juga menyarankan langkah-langkah perlindungan tambahan:
- Batasi atau nonaktifkan akses manajemen WAN dan remote access jika tidak diperlukan.
- Nonaktifkan sementara HTTP, HTTPS, SSH, dan SSLVPN hingga seluruh kredensial diperbarui.
- Cabut API key eksternal, Dynamic DNS, serta kredensial SMTP/FTP yang terkait dengan otomatisasi sistem.
- Aktifkan multi-factor authentication (MFA) untuk semua akun administrator dan akses jarak jauh.
Setelah semua langkah dilakukan, layanan disarankan untuk diaktifkan kembali secara bertahap sambil memantau aktivitas mencurigakan di setiap tahap pemulihan.
Sumber: Huntress, SonicWall, BleepingComputer
