SonicWall Sebut Peretasan September Dilakukan oleh Hacker yang Disponsori Negara

Perusahaan keamanan jaringan SonicWall mengonfirmasi bahwa insiden kebocoran keamanan yang terjadi pada September 2025 melibatkan aktor ancaman yang diduga disponsori oleh negara (state-sponsored threat actor). Hasil penyelidikan forensik yang dilakukan bersama tim keamanan siber Mandiant menyimpulkan bahwa serangan tersebut bersifat terisolasi dan tidak berdampak pada produk maupun sistem internal SonicWall.

“Penyelidikan Mandiant kini telah selesai. Temuan mereka mengonfirmasi bahwa aktivitas berbahaya tersebut — dilakukan oleh aktor yang disponsori negara — terbatas pada akses tidak sah terhadap file cadangan konfigurasi firewall dari lingkungan cloud tertentu melalui panggilan API,” tulis SonicWall dalam pernyataannya.

Perusahaan menegaskan bahwa tidak ada produk, firmware, kode sumber, maupun jaringan pelanggan yang terpengaruh atau dikompromikan.

Kronologi Insiden

Pada 17 September 2025, SonicWall mengumumkan adanya insiden yang mengekspos file cadangan konfigurasi firewall yang tersimpan di akun MySonicWall milik sebagian pelanggan. File tersebut dapat berisi informasi sensitif seperti kredensial akses dan token autentikasi yang berpotensi dimanfaatkan untuk menyerang sistem pelanggan.

Menanggapi hal itu, SonicWall segera mengimbau pelanggan untuk:

• Mengatur ulang kredensial akun MySonicWall dan kode akses sementara.
• Mengganti kata sandi pada server LDAP, RADIUS, dan TACACS+.
• Memperbarui sandi pada antarmuka WAN L2TP/PPPoE/PPTP.
• Mengubah shared secrets pada kebijakan IPSec dan GroupVPN.

Dalam pembaruan pada 9 Oktober, SonicWall menyatakan bahwa pelanggaran tersebut berdampak pada seluruh pelanggan yang menggunakan layanan cloud backup untuk menyimpan konfigurasi firewall mereka. Namun, setelah penyelidikan mendalam, perusahaan memastikan pelanggaran hanya terbatas pada satu segmen lingkungan cloud dan tidak berpengaruh terhadap keamanan produk maupun infrastruktur utama mereka.

Tidak Terkait dengan Serangan Ransomware Akira

SonicWall juga menegaskan bahwa aktivitas peretasan yang disponsori negara ini tidak terkait dengan serangan kelompok ransomware Akira, yang sempat menargetkan akun VPN SonicWall dengan perlindungan MFA pada akhir September.

Sementara itu, pada 13 Oktober, perusahaan keamanan Huntress melaporkan meningkatnya aktivitas berbahaya terhadap akun SonicWall SSLVPN, dengan lebih dari seratus akun berhasil diretas menggunakan kredensial yang valid. Meski demikian, Huntress tidak menemukan bukti yang menghubungkan serangan tersebut dengan insiden kebocoran file konfigurasi firewall di bulan September.

Dengan berakhirnya penyelidikan ini, SonicWall menegaskan kembali komitmennya untuk memperkuat keamanan layanan cloud dan memastikan perlindungan data pelanggan tetap menjadi prioritas utama.