SonicWall telah merilis pembaruan firmware penting untuk perangkat SMA 100 series guna menghapus rootkit malware berbahaya yang ditemukan pada sejumlah serangan siber terbaru.
Dalam advisori resmi, perusahaan menyatakan:
“SonicWall SMA 100 10.2.2.2-92sv build telah dirilis dengan pengecekan file tambahan, memberikan kemampuan untuk menghapus rootkit malware yang diketahui ada pada perangkat SMA.”
Pembaruan ini sangat direkomendasikan untuk pengguna SMA 210, 410, dan 500v, dan mereka diminta segera meng-upgrade ke versi 10.2.2.2-92sv.
Latar Belakang Serangan
- Pada Juli 2025, tim Google Threat Intelligence Group (GTIG) melaporkan kelompok UNC6148 yang mengeksploitasi perangkat SMA 100 end-of-life (EoL) dengan menyebarkan OVERSTEP rootkit.
- Malware ini memungkinkan akses persisten dengan menyembunyikan komponen berbahaya serta membuka reverse shell.
- OVERSTEP juga mencuri file sensitif, termasuk persist.database dan file sertifikat, yang dapat digunakan untuk mengambil credential, OTP seeds, dan sertifikat lain.
Keterkaitan dengan Ransomware Abyss
Ada sejumlah overlap dengan insiden ransomware Abyss:
- 2023 – Truesec menemukan Abyss menginstal web shell di perangkat SMA untuk bertahan meski sudah di-update.
- 2024 – InfoGuard AG melaporkan kompromi serupa yang juga mengarah pada penyebaran malware Abyss.
Risiko Firmware Lama
SonicWall memperingatkan bahwa versi lama firmware SMA 100 berisiko tinggi disalahgunakan, sesuai laporan GTIG. Admin diminta mengikuti panduan keamanan yang sudah dirilis sejak Juli.
Selain itu, SonicWall baru-baru ini juga:
- Mengingatkan pelanggan untuk reset kredensial setelah file backup konfigurasi firewall terekspos dalam serangan brute-force.
- Mengklarifikasi isu Akira ransomware: bukan zero-day, melainkan eksploitasi kerentanan kritis CVE-2024-40766 (ditambal November 2024).
Lembaga seperti ACSC dan Rapid7 juga mengonfirmasi bahwa geng Akira memang memanfaatkan celah ini untuk menargetkan perangkat SonicWall yang belum ditambal.
✅ Rekomendasi:
- Segera update ke firmware 10.2.2.2-92sv.
- Reset semua kredensial terkait.
- Pastikan perangkat tidak lagi berjalan di firmware lama menjelang EoL 1 Oktober 2025.
Sumber: SonicWall, GTIG, Truesec, Rapid7