SonicWall Peringatkan Zero-Day Baru SMA1000 yang Aktif Dieksploitasi Penyerang
SonicWall mengeluarkan peringatan keamanan kepada para pelanggannya terkait kerentanan baru pada SonicWall SMA1000 Appliance Management Console (AMC) yang telah dimanfaatkan dalam serangan zero-day untuk meningkatkan hak akses penyerang di sistem target.
Kerentanan dengan tingkat keparahan menengah ini terdaftar sebagai CVE-2025-40602 dan dikategorikan sebagai celah local privilege escalation. SonicWall menjelaskan bahwa temuan tersebut dilaporkan oleh ClΓ©ment Lecigne dan Zander Work dari Google Threat Intelligence Group. Celah ini tidak berdampak pada layanan SSL-VPN yang berjalan di firewall SonicWall, namun tetap berisiko tinggi jika tidak segera ditangani.
Dalam pemberitahuan resminya, SonicWall menegaskan bahwa tim PSIRT sangat menyarankan pengguna SMA1000 untuk segera memperbarui perangkat ke versi hotfix terbaru guna menutup celah keamanan tersebut. Langkah mitigasi ini dinilai krusial mengingat kerentanan tersebut telah digunakan secara aktif dalam serangan nyata.
Lebih lanjut diungkapkan bahwa penyerang jarak jauh tanpa autentikasi mengombinasikan CVE-2025-40602 dengan kerentanan kritis lain pada SMA1000, yakni celah deserialisasi pra-autentikasi CVE-2025-23006. Rantai eksploitasi ini memungkinkan eksekusi perintah sistem operasi secara arbitrer dalam kondisi tertentu.
SonicWall menyebutkan bahwa kombinasi kedua celah tersebut dapat menghasilkan eksekusi kode jarak jauh tanpa autentikasi dengan hak akses root. Kerentanan CVE-2025-23006 sendiri memiliki skor CVSS 9,8 dan telah diperbaiki pada build 12.4.3-02854 melalui platform hotfix yang dirilis pada 22 Januari 2025. Versi yang lebih baru juga telah mencakup perbaikan tersebut.
Data pemantauan dari Shadowserver menunjukkan bahwa lebih dari 950 perangkat SMA1000 masih terekspos ke internet. Meski sebagian di antaranya kemungkinan sudah diperbarui, jumlah ini tetap mencerminkan permukaan serangan yang signifikan bagi pelaku ancaman.
SMA1000 merupakan perangkat akses jarak jauh yang banyak digunakan oleh organisasi besar untuk menyediakan konektivitas VPN ke jaringan internal perusahaan. Mengingat perannya yang krusial di lingkungan korporasi, pemerintahan, hingga infrastruktur kritis, kerentanan yang tidak ditambal dapat menjadi pintu masuk berisiko tinggi bagi serangan siber berskala besar.
Dalam beberapa bulan terakhir, SonicWall juga menghadapi sejumlah insiden keamanan lain. Perusahaan tersebut sebelumnya mengaitkan peretas yang didukung negara dengan pelanggaran keamanan pada September lalu yang mengakibatkan tereksposnya file cadangan konfigurasi firewall pelanggan. Insiden itu terjadi sekitar satu bulan setelah peneliti mengungkap lebih dari 100 akun SSLVPN SonicWall yang dikompromikan menggunakan kredensial curian.
Pada September, SonicWall juga merilis pembaruan firmware untuk membantu administrator TI menghapus malware rootkit OVERSTEP yang digunakan dalam serangan terhadap perangkat seri SMA 100. Sementara itu, sebulan sebelumnya, SonicWall membantah klaim bahwa kelompok ransomware Akira mengeksploitasi zero-day pada firewall Gen 7, dan mengaitkan insiden tersebut dengan kerentanan kritis CVE-2024-40766 yang telah ditambal pada November 2024.
Temuan SonicWall tersebut kemudian dikonfirmasi oleh Rapid7 dan Australian Cyber Security Center, yang menyatakan bahwa kelompok Akira memang memanfaatkan CVE-2024-40766 untuk menargetkan perangkat SonicWall yang belum diperbarui.
