Dampak Ancaman Qilin: CISA Beri Waktu 3 Hari Bagi Lembaga Federal untuk Tambal Celah Zero-Day VPN Check Point

Badan Keamanan Siber dan Infrastruktur Amerika Serikat, CISA (Cybersecurity and Infrastructure Security Agency), mengambil langkah tegas dengan mengeluarkan perintah darurat kepada seluruh lembaga pemerintah AS. CISA menginstruksikan pengamanan ketat pada infrastruktur Check Point Remote Access VPN dan Mobile Access menyusul eksploitasi aktif celah keamanan zero-day oleh kelompok afiliasi Ransomware Qilin.

CISA secara resmi telah memasukkan celah keamanan kritis tersebut ke dalam katalog Kerentanan yang Diketahui Telah Dieksploitasi (Known Exploited Vulnerabilities / KEV Catalog). Berdasarkan arahan Binding Operational Directive (BOD) 22-01, lembaga Federal Civilian Executive Branch (FCEB) diberikan tenggat waktu sangat singkat, yaitu hingga 11 Juni 2026, untuk menambal sirkuit sistem mereka.

1. Bahaya Kritis CVE-2026-50751 dan Kaitannya dengan Ransomware Qilin

Celah keamanan yang diidentifikasi sebagai CVE-2026-50751 ini berstatus bahaya tingkat tinggi karena memungkinkan peretas luar tanpa otentikasi resmi (unauthenticated remote attackers) untuk membajak jalur masuk logis perangkat:

• Mekanisme Pembobolan: Peretas bisa melewati sistem pemeriksaan keamanan (authentication bypass) dan mendirikan koneksi VPN internal jarak jauh pada target SSL VPN, Remote Access VPN, atau perangkat Spark firewalls.
• Titik Lemah Protokol IKEv1: Serangan ini hanya berdampak pada sasis gateway keamanan yang dikonfigurasi menggunakan protokol pertukaran kunci lawas IKEv1, menerima koneksi dari aplikasi klien legacy, serta tidak mewajibkan validasi sertifikat mesin (machine certificate).

Check Point melaporkan bahwa gelombang serangan siber ini mulai bergerak senyap sejak 7 Mei 2026 dan mengalami lonjakan aktivitas (surge) yang masif. Meskipun korban sukses sejauh ini baru menyasar beberapa puluh organisasi global, tim forensik memastikan adanya aktivitas pasca-pembobolan (post-compromise activity) yang terafiliasi dengan geng Ransomware-as-a-Service (RaaS) Qilin. Kelompok ini dikenal sangat berbahaya dan telah mengklaim lebih dari 400 korban di situs kebocoran dark web mereka sejak mendebutkan eksistensinya pada Agustus 2022.

2. Instruksi Tegas CISA dan Imbauan Sektor Swasta

Mengingat tingginya risiko kelumpuhan total infrastruktur jika ransomware berhasil ditanamkan, CISA memberikan instruksi penanganan yang sangat ketat:

Pernyataan Resmi CISA:

“Jenis kerentanan seperti ini merupakan vektor serangan yang sering digunakan oleh aktor siber jahat dan menimbulkan risiko signifikan bagi perusahaan federal. Terapkan mitigasi sesuai instruksi vendor, ikuti panduan BOD 22-01 yang berlaku untuk layanan cloud, atau hentikan penggunaan produk jika langkah mitigasi tidak tersedia.”

Meskipun instruksi binding operational directive ini secara hukum hanya mengikat lembaga pemerintahan federal AS, CISA mendesak keras seluruh tim keamanan teknologi di sektor industri swasta maupun komersial global untuk segera melakukan instalasi patching serupa demi mengamankan jaringan internal organisasi mereka dari intaian geng Qilin.

3. Rekomendasi Langkah Mitigasi Darurat

Bagi para administrator jaringan dan teknisi IT yang mengelola perangkat Check Point namun belum bisa melakukan pembaruan firmware sistem secara instan sebelum tenggat waktu berakhir, wajib menerapkan empat langkah mitigasi darurat berikut:

1. Hapus Dukungan Klien Lawas: Nonaktifkan total hak akses masuk untuk aplikasi klien legacy remote access.
2. Migrasi Wajib ke IKEv2: Ubah konfigurasi properti global untuk Otentikasi Remote Access VPN menjadi hanya mendukung IKEv2.
3. Wajibkan Sertifikat Mesin: Setel fitur Machine Certificate Authentication ke status wajib (mandatory) untuk memvalidasi fisik perangkat yang terhubung.
4. Perbarui Tanda Tangan IPS: Aktifkan sistem pencegahan penyusupan (Intrusion Prevention System / IPS) dan segera unduh tanda tangan digital keamanan terbaru dari Check Point.

Kasus serangan gateway ini bukan pertama kalinya menimpa perangkat Check Point. Dua tahun lalu, CISA juga sempat memasukkan celah keamanan Quantum Security Gateways (CVE-2024-24919) ke dalam katalog KEV setelah terbukti dieksploitasi secara aktif oleh geng siber dalam serangan ransomware NailaoLocker.

Sumber: Surat Perintah Penetapan Katalog KEV CISA