- SonicWall mengonfirmasi bahwa aktor yang disponsori negara mengakses cadangan cloud melalui API dalam pelanggaran yang ditargetkan
- Awalnya diremehkan, pelanggaran ini akhirnya berdampak pada seluruh pelanggan SonicWall secara global
- Tidak ada kompromi produk atau firmware yang terjadi; Mandiant membantu remediasi dan pengerasan
SonicWall menyalahkan “aktor ancaman yang disponsori negara” atas pelanggaran keamanan cadangan cloud yang melanda layanannya pada September 2025.
Dalam pembaruan yang diposting di situs web perusahaan, SonicWall mengatakan pihaknya telah menyelesaikan penyelidikan atas insiden tersebut, dan mengonfirmasi bahwa aktivitas jahat tersebut “dilakukan oleh aktor ancaman yang disponsori negara” dan “diisolasi ke akses tidak sah ke cadangan awan file dari lingkungan cloud tertentu menggunakan panggilan API.”
Pada pertengahan September 2025, SonicWall memperingatkannya firewall pelanggan untuk mengatur ulang kata sandi mereka setelah pelaku ancaman yang tidak disebutkan namanya secara paksa masuk ke layanan cloud MySonicWall perusahaan. Alat ini memungkinkan pengguna firewall SonicWall (biasanya bisnis dan tim TI) untuk mencadangkan file konfigurasi firewall mereka, termasuk aturan jaringan dan kebijakan akses, konfigurasi VPN, kredensial layanan (LDAP, RADIUS, SNMP), atau nama pengguna dan kata sandi admin (jika disimpan dalam konfigurasi).
Bertingkah seperti hacktivist
Pada awalnya, SonicWall mengatakan bahwa kurang dari 5% basis pelanggannya terpengaruh, namun kemudian dikonfirmasi pelanggaran tersebut berdampak pada semua pelanggannya (yang jumlahnya bisa mencapai 500.000 di seluruh dunia).
Perusahaan mengonfirmasi bahwa produk dan firmwarenya tidak disusupi, dan tidak ada sistem atau alat lain, kode sumber, atau jaringan pelanggan yang terganggu atau dirusak.
“SonicWall telah mengambil semua tindakan perbaikan yang direkomendasikan oleh Mandiant dan akan terus bekerja sama dengan Mandiant dan pihak ketiga lainnya untuk terus memperkuat jaringan dan infrastruktur cloud kami,” katanya.
Secara teori, penyerang dapat melakukan brute force atau mendekripsi rahasia yang dicuri dari cadangan, mengekstrak kredensial yang digunakan dalam layanan yang terkait dengan firewall, memahami topologi dan aturan jaringan – melewati pertahanan dengan lebih mudah, dan meluncurkan serangan yang ditargetkan menggunakan pengetahuan orang dalam tentang cara konfigurasi firewall.
SonicWall tidak menyebutkan nama penyerangnya, dan sejauh ini belum ada yang mengaku bertanggung jawab atas serangan tersebut. Hanya saja ditekankan bahwa insiden ini tidak ada hubungannya dengan serangan Akira baru-baru ini yang juga menargetkan cadangan.
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
