Lalai Terapkan Panduan Manual, Hacker Sukses Bobol MFA VPN SonicWall Gen6 via Celah Eksploitasi

Para peneliti keamanan dari firma siber ReliaQuest resmi merilis laporan investigasi mengenai gelombang serangan siber yang sukses menembus pertahanan perimeter perusahaan melalui perangkat SonicWall Gen6 SSL-VPN. Kelompok peretas terpantau berhasil meluncurkan serangan tebak kata sandi secara masif (brute-force) dan melompati proteksi otentikasi ganda (Multi-Factor Authentication – MFA) akibat kelalaian tim IT dalam menerapkan langkah konfigurasi manual pasca-proses penambalan sistem (incomplete patching).

Insiden intrusi ini memanfaatkan eksploitasi aktif di dunia nyata (in-the-wild exploitation) terhadap celah keamanan lawas yang dilacak di bawah kode CVE-2024-12802.

Akar Masalah: Celah Log Masuk UPN pada Ekosistem LDAP

Kerentanan CVE-2024-12802 terjadi karena hilangnya penegakan aturan (missing enforcement) validasi MFA untuk format log masuk nama pengguna berbasis UPN (User Principal Name). Kondisi ini memungkinkan penyerang yang sudah mengantongi kredensial akun valid untuk langsung masuk ke jaringan internal tanpa pernah ditantang oleh verifikasi kode MFA.

SonicWall sebenarnya telah merilis pembaruan firmware pelindung. Namun khusus untuk perangkat SonicWall generasi ke-6 (Gen6), menginstal firmware baru saja TIDAK CUKUP untuk menutup celah ini. Tim administrator IT diwajibkan melakukan rekonfigurasi server LDAP secara manual guna mencabut hak akses UPN tersebut. Kelalaian dalam mengeksekusi instruksi manual ini membuat perangkat berstatus “tampak sudah ditambal” namun aslinya tetap sepenuhnya rentan.

💡 Catatan Generasi Perangkat: Untuk sasis model SonicWall generasi terbaru (Gen7 dan Gen8), tim IT cukup melakukan pembaruan versi firmware ke rilis paling gres untuk menghapus total risiko eksploitasi tanpa perlu melakukan rekonfigurasi manual.

Analisis Taktik Serangan: Bergerak Kilat Menuju File Server

Berdasarkan temuan forensik ReliaQuest yang merespons rentetan intrusi sepanjang beberapa bulan terakhir, para penyerang menunjukkan efisiensi gerak yang sangat rapi di dalam jaringan lokal korporat:

1. Reconnaissance Cepat: Penyerang rata-rata hanya membutuhkan waktu antara 30 hingga 60 menit sejak log masuk pertama untuk memetakan jaringan (network reconnaissance) dan menguji pemakaian kembali kredensial curian (credential reuse) pada sistem internal.
2. Lateral Movement ke File Server: Dalam satu kasus ekstrem, peretas sanggup menguasai server file yang terhubung ke domain (domain-joined file server) hanya dalam waktu setengah jam, lalu membangun koneksi jarak jauh via RDP menggunakan kata sandi administrator lokal bersama (shared local administrator password).
3. Upaya Penumpasan Proteksi Antivirus: Begitu berada di dalam server, peretas mencoba menyebarkan Cobalt Strike beacon (alat kendali C2) serta menyuntikkan driver rentan eksternal menggunakan teknik BYOVD (Bring Your Own Vulnerable Driver) untuk mematikan antivirus lokal. Beruntung, sistem EDR (Endpoint Detection and Response) perusahaan berhasil mendeteksi dan memblokir eksekusi driver berbahaya tersebut.

Melihat pola penyerang yang langsung melakukan log keluar pasca-pemetaan dan baru kembali menyusup beberapa hari kemudian menggunakan akun berbeda, ReliaQuest menyimpulkan dengan keyakinan sedang bahwa aktor siber ini bertindak sebagai Initial Access Broker (IAB)—kelompok spesialis pembuka pintu gerbang jaringan yang kemudian menjual akses tersebut ke geng ransomware papan atas (seperti geng Akira ransomware).

Panduan Remediasi Manual Wajib untuk SonicWall Gen6

Mengingat gawai SonicWall Gen6 SSL-VPN telah resmi mencapai masa pensiun total (End-of-Life – EoL) per 16 April 2026 kemarin dan tidak lagi mendapatkan dukungan pembaruan keamanan di masa depan, Microsoft dan para analis sangat merekomendasikan korporasi untuk segera bermigrasi ke sasis hardware versi terbaru.

Namun, bagi organisasi yang masih terpaksa mengoperasikannya, berikut adalah rangkaian Langkah Remediasi Wajib untuk menutup celah bypass MFA CVE-2024-12802:

1. Hapus konfigurasi LDAP aktif yang menggunakan parameter userPrincipalName di dalam kolom “Qualified login name”.
2. Bersihkan seluruh daftar nama pengguna LDAP yang tersimpan di dalam memori lokal (locally cached/listed LDAP users).
3. Hapus konfigurasi “User Domain” pada menu SSL VPN (sistem akan otomatis dikembalikan ke setelan LocalDomain).
4. Lakukan reboot (nyalakan ulang) pada perangkat firewall.
5. Bangun kembali konfigurasi LDAP baru TANPA melibatkan userPrincipalName pada kolom “Qualified login name”.
6. Segera buat berkas cadangan sistem (fresh backup) yang baru agar konfigurasi LDAP yang rentan tidak tidak sengaja terpulihkan di kemudian hari.

Indikator Forensik untuk Tim SOC (Security Operations Center)

ReliaQuest memperingatkan bahwa proses log masuk ilegal yang mengeksploitasi celah ini tetap akan terlihat normal sebagai alur MFA sukses di dalam log sistem. Untuk mendeteksinya, tim analis SOC diminta mencari sinyal kunci berupa string sess="CLI" pada catatan log, yang mengindikasikan adanya skrip otentikasi VPN otomatis/terprogram, serta memantau kemunculan Event ID 238 dan 1080.