Security

SonicWall Peringatkan Zero-Day pada SMA1000 Sedang Dieksploitasi, Administrator Diminta Segera Pasang Patch

SonicWall mengeluarkan peringatan mendesak kepada para pelanggannya setelah mengonfirmasi adanya dua kerentanan zero-day pada perangkat SMA1000 yang saat ini telah dieksploitasi secara aktif oleh pelaku ancaman.

Kedua celah keamanan tersebut telah diperbaiki melalui pembaruan hotfix terbaru, dan seluruh administrator dianjurkan untuk segera melakukan pembaruan guna mencegah kompromi sistem.

Dua Kerentanan dengan Tingkat Risiko Sangat Tinggi

Kerentanan pertama adalah CVE-2026-15409, sebuah celah Server-Side Request Forgery (SSRF) dengan skor CVSS 10.0.

Celah ini ditemukan pada antarmuka SMA1000 Appliance Work Place dan memungkinkan penyerang jarak jauh tanpa autentikasi memaksa perangkat mengirim permintaan ke lokasi yang tidak semestinya.

Sementara itu, kerentanan kedua adalah CVE-2026-15410, yaitu celah Code Injection dengan skor CVSS 7.2 pada SMA1000 Appliance Management Console.

Kerentanan ini membutuhkan hak administrator, namun apabila berhasil dieksploitasi, pelaku dapat menjalankan perintah sistem operasi (OS command) secara arbitrer pada perangkat yang menjadi target.

Meski secara individual memiliki skor CVSS 7.2, SonicWall menetapkan tingkat keparahan keseluruhan advisory menjadi CVSS 10.0 karena dampak yang dapat ditimbulkan.

SonicWall Konfirmasi Eksploitasi Aktif

SonicWall menyatakan telah menyelidiki beberapa insiden keamanan dan memastikan bahwa kedua kerentanan tersebut memang sedang dimanfaatkan dalam serangan nyata.

Perusahaan belum mengungkap apakah pelaku menggabungkan kedua kerentanan tersebut dalam satu rantai eksploitasi (exploit chain). Namun, pelanggan diminta segera memasang hotfix tanpa menunggu informasi tambahan.

Produk yang Terdampak

Kerentanan ini memengaruhi perangkat SonicWall SMA1000, meliputi:

  • SMA 6210
  • SMA 7210
  • SMA 8200v

Dengan versi platform-hotfix berikut:

  • 12.4.3-03245
  • 12.4.3-03387
  • 12.4.3-03434
  • 12.5.0-02283
  • 12.5.0-02624
  • 12.5.0-02800

SonicWall telah menyediakan perbaikan melalui:

  • 12.4.3-03453
  • 12.5.0-02835
  • Seluruh versi yang lebih baru.

Perusahaan juga menegaskan bahwa kerentanan ini tidak memengaruhi:

  • SSL-VPN pada firewall SonicWall.
  • Produk SMA 100 Series.

Indikator Kompromi (IOC)

SonicWall turut membagikan sejumlah Indicators of Compromise (IOC) yang dapat digunakan administrator untuk memeriksa apakah perangkat telah disusupi.

Administrator disarankan memeriksa apabila ditemukan:

  • Permintaan menuju /api/login atau /api/logout dengan status HTTP 200 pada extraweb_access.log.
  • Permintaan ke /wsproxy dengan parameter host mencurigakan dan status HTTP 101.
  • Catatan rollback hotfix dengan nama path traversal pada ctrl-service.log.
  • File /var/lib/unit/conf.json berisi route menuju /api/login atau /api/logout, yang seharusnya tidak ada pada konfigurasi resmi.

Langkah Penanganan

SonicWall menegaskan bahwa tidak tersedia solusi sementara (workaround) maupun mitigasi lain selain memasang hotfix terbaru.

Apabila perangkat ditemukan telah dikompromikan, administrator disarankan untuk:

  • Melakukan re-image pada appliance fisik atau redeploy appliance virtual.
  • Mengganti seluruh password pengguna dan administrator.
  • Melakukan reset token TOTP.
  • Memeriksa keberadaan seluruh IOC yang telah dipublikasikan.

Masuk Daftar KEV Milik CISA

Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) juga telah memasukkan CVE-2026-15409 dan CVE-2026-15410 ke dalam katalog Known Exploited Vulnerabilities (KEV), yang menandakan kedua kerentanan tersebut telah terbukti dieksploitasi dalam serangan di dunia nyata.

Sebagai tindak lanjut, seluruh instansi pemerintah federal Amerika Serikat diwajibkan mengamankan sistem yang terdampak paling lambat 17 Juli 2026 sesuai ketentuan Binding Operational Directive (BOD) 26-04, atau menghentikan penggunaan perangkat apabila patch belum dapat diterapkan.

Mengingat eksploitasi telah berlangsung secara aktif dan belum tersedia mitigasi selain pembaruan, administrator SonicWall SMA1000 sangat disarankan untuk segera memasang hotfix terbaru guna meminimalkan risiko kompromi sistem.

Sumber: SonicWall

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button