Check Point Kebobolan Zero-Day, Geng Ransomware Qilin Bobol VPN Perusahaan Tanpa Autentikasi

CLB.my.id - Perusahaan keamanan siber asal Israel, Check Point, merilis pembaruan keamanan darurat untuk menambal celah kritis yang dieksploitasi aktif oleh peretas dalam serangan zero-day. Celah yang dilacak dengan kode CVE-2026-50751 ini memungkinkan penyerang tanpa autentikasi melewati proses verifikasi pada部署 VPN Remote Access dan Mobile Access, lalu membuat koneksi VPN jarak jauh ke jaringan perusahaan target.

Serangan pertama kali terdeteksi pada 7 Mei 2026 dan meningkat tajam di awal Juni. Menurut Check Point, eksploitasi ini terbatas pada “beberapa lusin” organisasi yang ditarget secara spesifik di seluruh dunia. Yang mengkhawatirkan, setidaknya satu insiden sudah dikonfirmasi terkait dengan operasi ransomware Qilin, geng pemeras digital yang sudah mengklaim hampir 400 korban di situs kebocoran dark web mereka.

Bagaimana Celah Ini Bekerja

CVE-2026-50751 hanya memengaruhi部署 yang dikonfigurasi menggunakan protokol pertukaran kunci IKEv1 yang sudah usang. Protokol ini seharusnya sudah tidak digunakan lagi, tetapi banyak organisasi besar tetap mempertahankannya karena alasan kompatibilitas dengan sistem lama. Penyerang bisa memanfaatkan celah ini pada security gateway yang masih menerima klien Remote Access versi lama dan tidak mensyertakan sertifikat mesin wajib untuk koneksi.

Dengan kata lain, ini adalah masalah konfigurasi yang diperburuk oleh kelemahan kriptografi. Organisasi yang sudah beralih ke IKEv2 dan menerapkan autentikasi sertifikat mesin tidak terpengaruh. Namun bagi yang masih bergantung pada IKEv1, celah ini memberikan akses langsung ke jaringan internal tanpa perlu kata sandi, token, atau kredensial apa pun.

Check Point juga menemukan celah kedua saat menyelidiki insiden pertama. Celah yang dilacak sebagai CVE-2026-50752 memengaruhi validasi sertifikat dalam protokol IKEv1 dan bisa dieksploitasi untuk serangan man-in-the-middle pada koneksi VPN site-to-site. Meskipun belum ada bukti eksploitasi liar untuk celah kedua ini, Check Point tetap menyarankan pelanggan untuk segera memperbarui perangkat lunak mereka.

Jejak Qilin dalam Serangan Ini

Keterlibatan geng ransomware Qilin menambah lapisan keparahan pada insiden ini. Qilin pertama kali muncul pada Agustus 2022 sebagai operasi Ransomware-as-a-Service (RaaS) dengan nama “Agenda”. Sejak saat ini, geng ini sudah mengklaim tanggung jawab atas hampir 400 korban di situs kebocoran dark web mereka.

Daftar korban Qilin mencakup nama-nama besar: produsen otomotif Yangfeng, Nissan, perusahaan bir Jepang Asahi, penerbit besar Lee Enterprises, penyedia layanan patologi Synnovis, dan pengadilan negara bagian Victoria di Australia. Pola serangan Qilin menunjukkan mereka menargetkan organisasi dengan infrastruktur kritis yang membayar tebusan besar untuk memulihkan operasi.

Kombinasi celah autentikasi VPN dengan operasi ransomware yang sudah terorganisir menciptakan skenario yang sangat berbahaya. Penyerang bisa masuk ke jaringan perusahaan melalui VPN, bergerak lateral ke sistem sensitif, mengenkripsi data, dan meminta tebusan. Semua ini tanpa perlu menembus pertahanan tradisional seperti firewall atau sistem deteksi intrusi.

Langkah Mitigasi yang Harus Diambil

Bagi organisasi yang tidak bisa segera menerapkan patch, Check Point memberikan beberapa langkah mitigasi darurat. Pertama, hapus dukungan untuk klien remote access lama. Kedua, konfigurasi properti global untuk autentikasi VPN Remote Access ke IKEv2 saja. Ketiga, atur autentikasi Machine Certificate sebagai wajib. Keempat, aktifkan Intrusion Prevention System (IPS) dan unduh tanda tangan terbaru.

Pembaruan keamanan sudah tersedia dan harus diterapkan sesegera mungkin. Organisasi yang terus menjalankan konfigurasi IKEv1 tanpa patch berisiko menjadi target serangan berikutnya, mengingat detail teknis celah ini sudah dipublikasikan dan penyerang memiliki insentif finansial kuat untuk mengeksploitasi sebanyak mungkin target.

Insiden ini juga menambah daftar panjang serangan zero-day terhadap infrastruktur VPN di 2026. Sebelumnya, Palo Alto Networks dan Cisco juga menghadapi celah serupa yang dieksploitasi aktif oleh kelompok peretas. Pola ini menunjukkan bahwa VPN, yang seharusnya menjadi gerbang keamanan justru menjadi titik lemah paling menggiurkan bagi penyerang. Setiap organisasi yang menjalankan infrastruktur VPN lama tanpa audit berkala berisiko menjadi target berikutnya.

Insiden ini menjadi pengingat bahwa keamanan VPN bukan sekadar soal enkripsi, tetapi juga soal manajemen protokol dan lifecycle perangkat lunak. Protokol yang sudah usang seperti IKEv1 seharusnya sudah dimatikan, bukan dipertahankan demi kenyamanan jangka pendek. Biaya patch dan migrasi jauh lebih kecil dibandingkan dampak kehilangan data, gangguan operasi, dan pembayaran tebusan yang harus ditanggung jika celah ini dieksploitasi.***