SonicWall secara resmi menyatakan bahwa tidak ditemukan indikasi adanya eksploitasi zero-day di produk SSL-VPN miliknya dalam serangan ransomware terbaru yang menargetkan sejumlah sistem pengguna. Setelah melakukan investigasi menyeluruh, perusahaan menyimpulkan bahwa gelombang serangan tersebut berasal dari kerentanan lama yang telah ditambal pada awal tahun 2024, bukan dari celah keamanan baru yang belum diketahui publik.
Klarifikasi atas Spekulasi Zero-Day
Spekulasi mengenai potensi eksploitasi zero-day sempat mencuat setelah laporan awal menyebut bahwa beberapa insiden ransomware diduga berkaitan dengan layanan SSL-VPN milik SonicWall. Namun, dalam pembaruan terbarunya, tim keamanan SonicWall menyatakan bahwa semua bukti yang dianalisis menunjukkan bahwa pelaku ancaman mengeksploitasi kerentanan CVE-2024-1702, yang sudah diketahui dan telah mendapatkan patch sejak kuartal pertama tahun ini.
Kerentanan tersebut sebelumnya memungkinkan eksekusi kode jarak jauh (RCE) melalui antarmuka VPN jika sistem tidak diperbarui secara tepat waktu.
Target: Sistem yang Belum Dipatch
Serangan ransomware terbaru ini menyasar organisasi yang masih menjalankan versi firmware lama pada perangkat SonicWall mereka — terutama perangkat Secure Mobile Access (SMA) dan firewall dengan SSL-VPN aktif. Dalam beberapa kasus, penyerang diketahui mengeksploitasi kerentanan yang sudah memiliki pembaruan keamanan sejak lebih dari enam bulan lalu.
Artinya, sistem yang menjadi korban sebagian besar adalah yang tidak menerapkan pembaruan keamanan secara rutin, atau yang belum melakukan hardening konfigurasi jaringan.
Rekomendasi SonicWall bagi Pengguna
SonicWall menegaskan kembali pentingnya praktik keamanan berikut:
- Segera pasang patch terbaru untuk semua perangkat SonicWall, terutama pada layanan VPN
- Lakukan audit akses remote dan nonaktifkan akun yang tidak aktif
- Terapkan Multi-Factor Authentication (MFA)
- Pantau log sistem dan jaringan untuk mendeteksi aktivitas tidak biasa
- Gunakan segmentasi jaringan dan backup terisolasi untuk mitigasi ransomware
Pihak SonicWall juga menyatakan bahwa mereka akan terus memantau situasi dan mendukung pelanggan melalui pembaruan firmware dan investigasi keamanan lanjutan.
Serangan Ransomware Masih Andalkan Celah Lama
Kasus ini menjadi pengingat bahwa eksploitasi terhadap kerentanan lama tetap menjadi vektor serangan utama, terutama ketika organisasi gagal melakukan update sistem secara konsisten. Pelaku ransomware tidak selalu membutuhkan eksploit zero-day jika celah yang diketahui publik masih tersedia secara luas di sistem target.
Sumber: SonicWall finds no SSLVPN zero-day, links ransomware attacks to 2024 flaw