SonicWall mendesak seluruh pelanggan untuk segera memperbarui perangkat SMA1000 secure remote access appliances mereka setelah terungkapnya dua kerentanan zero-day yang sedang dieksploitasi secara aktif oleh penjahat siber. CVE-2026-15409, sebuah server-side request forgery (SSRF) berkeparahan kritis dengan CVSS score sempurna 10.0, dan CVE-2026-15410, code injection berkeparahan tinggi, keduanya telah ditambahkan ke CISA Known Exploited Vulnerabilities (KEV) Catalog dengan batas waktu remediasi 17 Juli 2026.
Apa yang Terjadi?
SonicWall PSIRT (Product Security Incident Response Team) menginvestigasi beberapa kasus yang mengindikasikan eksploitasi aktif terhadap dua kerentanan pada perangkat SMA1000. Kerentanan ini memengaruhi model SMA1000 versi 6210, 7210, dan 8200v. Perusahaan menyarankan seluruh pengguna untuk memperbarui ke hotfix releases 12.4.3-03453 atau 12.5.0-02835 sesegera mungkin.
CVE-2026-15409 merupakan kerentanan SSRF kritis pada Appliance Work Place interface yang memungkinkan penyerang remote tanpa autentikasi untuk memicu permintaan ke lokasi yang tidak diinginkan dari perangkat yang terdampak. Dengan CVSS score 10.0, kerentanan ini berada di tingkat keparahan tertinggi yang mungkin. CVE-2026-15410 adalah code injection berkeparahan tinggi pada Appliance Management Console (AMC) yang memungkinkan penyerang dengan hak akses admin untuk mengeksekusi perintah OS secara sembarang.
Volexity turut membantu investigasi SonicWall terhadap serangan zero-day ini, meskipun hingga saat ini belum ada rincian teknis yang dipublikasikan oleh perusahaan keamanan tersebut. Berdasarkan deskripsi singkat SonicWall, kedua kerentanan ini kemungkinan dapat di-chaining — artinya penyerang dapat mengeksploitasi CVE-2026-15409 untuk mendapatkan akses awal, kemudian menggunakan CVE-2026-15410 untuk eskalasi hak akses dan eksekusi kode.
Detail Teknis
CVE-2026-15409 — Server-Side Request Forgery (SSRF) pada Appliance Work Place interface. CVSS v3: 10.0. Penyerang remote tanpa autentikasi dapat memicu permintaan HTTP dari perangkat SMA1000 ke internal network atau layanan eksternal. Dalam konteks appliance remote access, SSRF berkeparahan sempurna seperti ini sangat berbahaya karena dapat digunakan untuk mengakses internal APIs, mengambil kredensial, atau bahkan mengambil alih kontrol penuh perangkat.
CVE-2026-15410 — Code Injection pada Appliance Management Console (AMC). CVSS v3: berkeparahan tinggi. Penyerang yang memiliki hak akses admin dapat mengeksekusi perintah OS secara sembarang. Meskipun memerlukan autentikasi admin, dalam rantai serangan bersama CVE-2026-15409, penyerang berpotensi mendapatkan akses admin melalui SSRF sebelum mengeksekusi code injection.
SonicWall bukanlah target baru bagi penjahat siber. Saat ini terdapat 17 kerentanan SonicWall yang tercatat dalam CISA KEV Catalog, termasuk beberapa yang sebelumnya menargetkan SMA1000 appliances. Perangkat remote access seperti SMA1000 menjadi target yang sangat berharga karena menempati posisi kritis sebagai gerbang akses ke jaringan internal organisasi.
Dampak Terhadap Indonesia
SonicWall merupakan salah satu vendor firewall dan VPN yang paling banyak digunakan di Indonesia, terutama di sektor perbankan, telekomunikasi, dan instansi pemerintah. SMA1000 series yang menjadi target serangan ini merupakan perangkat remote access yang memungkinkan karyawan mengakses jaringan internal secara remote — sebuah fitur yang penggunaannya meningkat drastis sejak adopsi work-from-home yang meluas di Indonesia.
Dengan CVSS score 10.0 untuk CVE-2026-15409 dan batas waktu remediasi CISA pada 17 Juli 2026, seluruh organisasi Indonesia yang menggunakan SonicWall SMA1000 harus memprioritaskan pembaruan ini sebagai urgensi tertinggi. BSSN dan tim keamanan siber nasional perlu menerbitkan advisori segera untuk mengingatkan seluruh instansi pemerintah dan BUMN yang menggunakan perangkat ini. Dalam konteks PDP Law (UU Pelindungan Data Pribadi), komprometasi VPN gateway seperti SMA1000 berpotensi mengakibatkan akses tidak sah ke data pribadi dalam skala besar, yang dapat memicu kewajiban notifikasi pelanggaran data.
Rekomendasi Mitigasi
Segera perbarui perangkat SMA1000 ke hotfix 12.4.3-03453 atau 12.5.0-02835. Jika pembaruan tidak dapat dilakukan segera, pertimbangkan untuk membatasi akses management console hanya dari jaringan internal terpercaya dan implementasikan VPN berlapis. Pantau log akses pada perangkat SMA1000 untuk mendeteksi aktivitas mencurigakan, terutama permintaan HTTP keluar dari Appliance Work Place. Terapkan IoC yang dibagikan oleh SonicWall untuk mendeteksi indikasi eksploitasi. Audit seluruh perangkat SonicWall di organisasi untuk memastikan tidak ada yang tertinggal dari pembaruan. Pertimbangkan untuk mengimplementasikan network segmentation sehingga SMA1000 tidak memiliki akses langsung ke jaringan kritis.
Analisa Retasan
Kombinasi SSRF ber-CVSS 10.0 dengan code injection pada perangkat remote access adalah skenario serangan yang sangat berbahaya. SSRF pada Appliance Work Place interface memungkinkan penyerang tanpa autentikasi untuk menjadikan SMA1000 sebagai proxy ke internal network — sebuah pola yang identik dengan eksploitasi ProxyLogon/ProxyShell pada Microsoft Exchange. Ketika SSRF dapat digunakan untuk mengambil kredensial atau mengakses API internal yang tidak terlindungi, chain ke CVE-2026-15410 untuk code injection menjadi path yang sangat mungkin. Fakta bahwa Volexity — firma keamanan yang dikenal meneliti serangan APT — terlibat dalam investigasi mengindikasikan bahwa aktor ancaman yang canggih kemungkinan besar berada di balik eksploitasi ini.
Pola eksploitasi terhadap SonicWall ini bukan hal baru. CISA KEV Catalog sudah mencatat 17 kerentanan SonicWall sebelumnya, termasuk CVE-2021-20038 yang merupakan heap overflow pada SMA1000 yang dieksploitasi oleh aktor ransomware. Sejarah ini menunjukkan bahwa perangkat remote access SonicWall secara konsisten menjadi target utama karena posisi strategisnya sebagai gerbang akses jaringan. Penjahat siber memahami bahwa mengkompromikan VPN gateway sama dengan mendapatkan kunci pintu depan ke seluruh infrastruktur organisasi target.
Untuk organisasi di Indonesia, urgensi remediasi ini tidak bisa ditunda. Banyak perusahaan telekomunikasi dan perbankan di Indonesia yang mengandalkan SonicWall SMA1000 sebagai solusi remote access utama mereka. Dengan adanya kombinasi exploit yang sudah aktif digunakan, setiap hari tanpa patch berarti potensi komprometasi yang semakin besar. Tim keamanan siber Indonesia harus memastikan bahwa monitoring terhadap anomali pada perangkat VPN dilakukan secara real-time, termasuk permintaan HTTP mencurigakan yang keluar dari appliance dan akses tidak biasa ke management console. SoCSIRT nasional perlu menerbitkan emergency advisory untuk memastikan seluruh organisasi kritis di Indonesia segera melakukan mitigasi.
Sumber: SecurityWeek