Kelompok Akira ransomware kembali memanfaatkan kerentanan lama di perangkat SonicWall SSLVPN, yakni CVE-2024-40766, untuk mendapatkan akses tidak sah ke jaringan target.
Kerentanan CVE-2024-40766
Kerentanan ini pertama kali diungkap pada Agustus 2024 dan dikategorikan sebagai akses kontrol kritis. Eksploitasi dapat memungkinkan:
- Akses sumber daya tanpa otorisasi
- Crash pada firewall
- Pengambilalihan akun pengguna lokal melalui manipulasi MFA/TOTP
SonicWall saat itu merilis patch serta merekomendasikan admin untuk mereset password akun SSLVPN lokal setelah pembaruan. Tanpa langkah ini, kredensial lama tetap bisa dimanfaatkan oleh penyerang.
Eksploitasi oleh Akira
Akira ransomware tercatat sudah mulai mengeksploitasi bug ini sejak September 2024. Kini, aktivitas mereka kembali meningkat.
Menurut peringatan dari Australian Cyber Security Centre (ACSC), organisasi di Australia tengah menjadi sasaran utama serangan. Hal serupa diamati oleh Rapid7, yang menyoroti metode intrusi melalui:
- Penyalahgunaan hak akses luas grup Default Users untuk autentikasi VPN
- Akses publik default pada Virtual Office Portal di perangkat SonicWall
Meningkatnya serangan ini sempat menimbulkan kebingungan di komunitas keamanan, dengan dugaan adanya zero-day baru. Namun, SonicWall menegaskan bahwa eksploitasi terbaru masih terkait dengan CVE-2024-40766, bukan celah baru.
Versi Firewall yang Terpengaruh
- Gen 5: SOHO (versi 5.9.2.14-12o dan lebih lama)
- Gen 6: TZ, NSA, SM (versi 6.5.4.14-109n dan lebih lama)
- Gen 7: TZ, NSA (versi SonicOS 7.0.1-5035 dan lebih lama)
Rekomendasi Mitigasi
Administrator sistem disarankan segera:
- Update firmware ke versi 7.3.0 atau lebih baru
- Rotasi password akun SonicWall
- Terapkan multi-factor authentication (MFA)
- Mitigasi risiko grup SSLVPN Default Users
- Batasi akses Virtual Office Portal hanya untuk jaringan internal/tepercaya
Dengan mitigasi cepat, risiko serangan berulang dapat ditekan, mengingat ransomware seperti Akira kerap menargetkan perangkat dengan patch yang tidak lengkap.
Sumber: SonicWall, ACSC, Rapid7