SolarWinds Manipulasi Alat Keamanan

Image credit: Freepix

SolarWinds Manipulasi Alat Keamanan – Dunia keamanan siber kembali dikejutkan oleh gelombang serangan terorganisir yang menargetkan kerentanan pada perangkat lunak manajemen layanan TI.

Sejak pertengahan Januari 2026, para peneliti telah mengamati kampanye serangan yang sangat agresif yang mengeksploitasi celah keamanan pada SolarWinds Web Help Desk (WHD).

Tren yang paling mencolok dari serangan ini bukanlah penggunaan malware kustom yang rumit, melainkan taktik “hidup dari tanah” (living off the land) dengan menyalahgunakan alat-alat administrasi dan forensik yang sah untuk tujuan jahat.

Dengan memanfaatkan alat seperti Zoho ManageEngine, Cloudflare Tunnels, hingga Velociraptor, penyerang berhasil membangun benteng di dalam jaringan korban yang sangat sulit dideteksi oleh sistem keamanan konvensional.

Anatomi Kerentanan

Akar dari serangan ini adalah dua kerentanan kritis yang baru saja diungkapkan. Kedua celah ini mendapatkan peringkat keparahan “Kritis” karena memungkinkan Remote Code Execution (RCE) atau eksekusi kode jarak jauh tanpa memerlukan autentikasi terlebih dahulu.

  1. CVE-2025-40551: Kerentanan ini telah dimasukkan ke dalam daftar katalog kerentanan yang dieksploitasi secara aktif oleh otoritas keamanan siber internasional. Celah ini memungkinkan penyerang masuk ke server host dan menjalankan perintah sistem dengan hak akses tinggi.
  2. CVE-2025-26399: Kerentanan tambahan yang memberikan celah serupa bagi penyerang untuk menyusup ke dalam instance SolarWinds WHD yang terpapar ke internet publik.

Para peneliti mencatat bahwa para pelaku kejahatan siber menunjukkan kecepatan yang luar biasa dalam memanfaatkan celah ini.

Begitu akses awal didapatkan, mereka hanya membutuhkan waktu singkat untuk melakukan penyebaran alat-alat persistensi yang masif.

Baca juga: Malware TikTok Berkedok Aktivasi Gratis

Dari Akses Awal hingga Pengambilalihan Kendali

Setelah berhasil mengeksploitasi kerentanan SolarWinds, penyerang memulai rantai serangan yang sangat sistematis. Langkah pertama yang dilakukan adalah melumpuhkan pertahanan internal korban.

Peneliti menemukan bahwa penyerang segera melakukan modifikasi pada registry Windows untuk mematikan Windows Defender dan Windows Firewall.

Hal ini dilakukan untuk memastikan bahwa pengunduhan payload berikutnya tidak akan terdeteksi atau diblokir.

Hanya satu detik setelah Defender dimatikan, penyerang segera mengunduh biner baru untuk memperluas akses mereka. Berikut adalah alat-alat utama yang disalahgunakan dalam kampanye ini:

  • Zoho ManageEngine Assist: Penyerang memasang alat kendali jarak jauh ini untuk mendapatkan akses langsung ke papan ketik (hands-on-keyboard). Melalui alat ini, mereka melakukan pengintaian terhadap Active Directory (AD) untuk memetakan seluruh jaringan internal perusahaan dan mencari target dengan nilai tinggi.
  • Velociraptor: Secara ironis, alat ini sebenarnya adalah perangkat respons insiden dan forensik digital yang sangat kuat. Namun, penyerang menggunakannya sebagai kerangka kerja Command and Control (C2). Melalui Velociraptor, penyerang dapat menjalankan perintah di ribuan komputer secara bersamaan.
  • Cloudflare Tunnels: Untuk memastikan mereka tidak kehilangan akses jika server utama diblokir, penyerang menggunakan Cloudflare Tunnels sebagai jalur akses sekunder. Teknik ini sangat efektif karena lalu lintas datanya tampak seperti lalu lintas web sah yang terenkripsi, sehingga sering kali lolos dari pengawasan tim keamanan jaringan.
  • Backdoor QEMU: Dalam beberapa kasus, penyerang membuat tugas terjadwal (scheduled task) yang membuka backdoor SSH melalui emulator QEMU, sebuah teknik yang sangat jarang namun cerdas untuk mempertahankan akses jangka panjang.

Menggunakan Alat Forensik sebagaii Senjata

Penggunaan Velociraptor oleh penyerang menandai pergeseran taktik yang mengkhawatirkan. Alat ini dirancang agar peneliti keamanan dapat memantau aktivitas mencurigakan.

Namun dalam tangan penyerang, alat ini menjadi “mata” yang memantau setiap gerak-gerik administrator TI sekaligus menjadi “tangan” yang mengeksekusi perintah jahat.

Para peneliti menyoroti bahwa penyerang sengaja menggunakan versi Velociraptor yang sudah usang (versi 0.73.4).

Versi ini memiliki celah eskalasi hak istimewa yang sengaja dimanfaatkan oleh penyerang untuk meningkatkan izin akses mereka di komputer korban hingga mencapai level tertinggi.

Baca juga: Pentingnya Firewall di Era Modern

Kaitan dengan Keamanan Siber di Indonesia

Eksploitasi SolarWinds ini memberikan peringatan keras bagi lanskap keamanan digital di Indonesia, terutama bagi instansi pemerintah dan perusahaan besar yang sangat bergantung pada perangkat lunak manajemen TI pihak ketiga.

  • Risiko Infrastruktur Kritis: Banyak organisasi di Indonesia menggunakan solusi help desk otomatis untuk melayani ribuan karyawan atau pelanggan. Jika server ini terpapar ke internet tanpa perlindungan memadai, maka mereka menjadi “buah yang menggantung rendah” bagi kelompok spionase siber.
  • Target “High-Value Assets”: Peneliti menyebutkan bahwa target dari kampanye ini adalah “aset bernilai tinggi”. Di Indonesia, hal ini bisa mencakup kementerian, lembaga keuangan, hingga perusahaan energi nasional yang menyimpan data strategis negara.
  • Kelemahan Manajemen Patch: Salah satu tantangan besar di Indonesia adalah lambatnya proses pembaruan sistem (patching) karena kekhawatiran akan gangguan pada operasional bisnis. Namun, kasus SolarWinds ini membuktikan bahwa menunda pembaruan selama beberapa hari saja bisa berakibat pada pengambilalihan seluruh jaringan Active Directory.

Langkah Mitigasi dan Rekomendasi Keamanan

Untuk menghadapi ancaman ini, para peneliti dan pakar keamanan siber sangat merekomendasikan langkah-langkah darurat sebagai berikut:

  1. Administrator sistem harus segera meningkatkan SolarWinds Web Help Desk ke versi 2026.1 atau yang lebih baru. Versi ini mengandung perbaikan permanen untuk celah kritis tersebut.
  2. Pastikan antarmuka administrasi SolarWinds WHD tidak dapat diakses secara langsung dari internet publik. Gunakan VPN atau Zero Trust Network Access (ZTNA) untuk mengakses alat-alat manajemen internal.
  3. Segera lakukan reset massal untuk semua kredensial yang tersimpan atau terkait dengan produk SolarWinds. Ada kemungkinan besar penyerang telah memanen kata sandi tersebut untuk digunakan di masa depan.
  4. Cari aktivitas mencurigakan seperti eksekusi PowerShell yang terenkripsi, instalasi file MSI yang tidak terduga (terutama yang berasal dari platform file hosting luar), dan keberadaan proses Cloudflare atau VS Code Tunnel yang tidak dikenal di server.

Operasi serangan SolarWinds WHD tahun 2026 ini menunjukkan bahwa musuh kita tidak lagi selalu menggunakan senjata rahasia, mereka menggunakan alat yang kita gunakan setiap hari untuk menolong kita.

Keberhasilan serangan ini sangat bergantung pada kecepatan dan kelengahan administrator. Di Indonesia, pemahaman bahwa alat keamanan pun bisa disalahgunakan harus menjadi standar baru dalam strategi pertahanan siber nasional.

 

 

Baca juga: 

 

 

Sumber berita:

 

Prosperita IT News

Tags:

Related News

Gawat! Begal Lalu Lintas Digital Merajalela

Gawat! Begal Lalu Lintas Digital Merajalela

February 10, 2026 0
Ransomware Bersemayam Dibalik Mesin Virtual

Ransomware Bersemayam Dibalik Mesin Virtual

February 10, 2026 0

You may have missed

SolarWinds Manipulasi Alat Keamanan

SolarWinds Manipulasi Alat Keamanan

February 11, 2026 0
Gawat! Begal Lalu Lintas Digital Merajalela

Gawat! Begal Lalu Lintas Digital Merajalela

February 10, 2026 0
Ransomware Bersemayam Dibalik Mesin Virtual

Ransomware Bersemayam Dibalik Mesin Virtual

February 10, 2026 0
Operasi Shadow Mata-Mata Siber Asia

Operasi Shadow Mata-Mata Siber Asia

February 10, 2026 0
Risiko Dunia Fortnite Bagi Anak

Risiko Dunia Fortnite Bagi Anak

February 9, 2026 0
Kebangkitan Kartel DragonForce

Kebangkitan Kartel DragonForce

February 9, 2026 0