trueNetLab logo
ID
Sophos Connect: mengapa admin tidak perlu mengejar blog post

Sophos Connect: mengapa admin tidak perlu mengejar blog post

9 min read
Network Sophos Security

Daftar isi

Sophos Connect 2.5 MR1 untuk Windows sudah tersedia. Sekilas ini terlihat seperti rilis pemeliharaan kecil: beberapa perbaikan klien, satu komponen pihak ketiga diperbarui, dan installer bisa diunduh lewat firewall atau langsung dari Sophos.

Tetapi justru di situlah masalahnya.

Sophos Connect bukan alat kecil untuk koneksi VPN sesekali. Klien ini berjalan di endpoint Windows, membangun VPN remote access, dan bagi banyak organisasi menjadi jalur langsung ke jaringan internal. Jika alat keamanan seperti ini memperbarui pustaka kriptografi penting, informasinya tidak seharusnya terasa tersembunyi di blog komunitas.

Yang lebih mengganggu: OpenSSL 3.3.7 dirilis pada 7 April 2026. Sophos Connect 2.5 MR1 datang pada 18 Juni 2026. Itu sekitar sepuluh minggu. Untuk aplikasi desktop biasa, mungkin ini hanya update pemeliharaan yang terlambat. Untuk klien VPN dengan pustaka kriptografi, jeda ini terasa kurang nyaman.

Apakah pengguna harus membaca blog Sophos untuk tahu bahwa klien VPN perlu diperbarui? Apakah setiap admin IT kecil harus berlangganan feed komunitas dan berharap melihat rilis seperti ini tepat waktu? Untuk alat yang langsung terkait remote access, sertifikat, autentikasi, dan enkripsi, itu tidak cukup.

Klien VPN adalah infrastruktur keamanan. Karena itu update penting klien tidak boleh hanya muncul sebagai posting blog.

Apa yang berubah di Sophos Connect 2.5 MR1

Sophos mengumumkan Sophos Connect Client 2.5 MR1 untuk Windows pada 18 Juni 2026. Menurut Sophos, ini adalah rilis pemeliharaan yang memperbaiki beberapa masalah yang dilaporkan komunitas.

Perubahan teknis terpenting jelas:

  • OpenSSL diperbarui ke versi 3.3.7.

Kalimat itu terdengar kecil. Secara operasional tidak kecil. Lebih dari dua bulan berlalu antara rilis OpenSSL pada 7 April dan Sophos Connect pada 18 Juni. Wajar jika Sophos perlu memeriksa, mengintegrasikan, menguji, dan mengemas pustaka itu. Tetapi justru karena itu klien keamanan perlu transparansi: admin tidak seharusnya menebak dari posting blog bahwa komponen klien sudah berminggu-minggu menunggu security patch release.

Sophos juga menyebut beberapa perbaikan:

  • Klien tidak otomatis berjalan untuk pengguna Windows tambahan jika diinstal oleh pengguna lain.
  • Pengguna SSO bisa melihat status VPN yang salah setelah gangguan Internet.
  • Pengguna credential dengan OTP mendapat permintaan verifikasi yang berbeda saat reconnect, tergantung IPsec atau SSL VPN.
  • Pengguna SSO tidak bisa membuat koneksi SSL VPN dari file provisioning jika sertifikat berisi karakter khusus.

Ini bukan detail kosmetik. Ini masalah remote access yang nyata: startup, status, SSO, OTP, provisioning, dan sertifikat. Di area seperti ini helpdesk, admin, dan pengguna cepat kehilangan visibilitas jika ada yang tidak bersih.

Tetap saja, OpenSSL 3.3.7 adalah bagian yang membuat rilis ini penting.

Mengapa OpenSSL 3.3.7 relevan

OpenSSL 3.3.7 dipublikasikan pada 7 April 2026 sebagai security patch release. OpenSSL menilai masalah paling serius yang diperbaiki sebagai Moderate. Itu tidak terdengar dramatis, tetapi juga bukan bugfix biasa.

OpenSSL 3.3.7 memperbaiki antara lain:

  • CVE-2026-31790: penanganan error yang salah pada RSA KEM RSASVE Encapsulation, yang dalam kondisi tertentu bisa mengirim isi memori yang belum diinisialisasi ke peer berbahaya.
  • CVE-2026-28387: potensi use-after-free pada kode klien DANE.
  • CVE-2026-28388: kemungkinan NULL pointer dereference saat memproses delta CRL.
  • CVE-2026-28389 dan CVE-2026-28390: kemungkinan NULL dereference saat memproses struktur CMS EnvelopedData tertentu.
  • CVE-2026-31789: heap buffer overflow saat konversi heksadesimal pada platform 32-bit.

Tidak semua kerentanan ini otomatis bisa dieksploitasi di Sophos Connect. Itu penting. Daftar CVE OpenSSL tidak boleh langsung diartikan bahwa semua klien dalam semua skenario sedang dalam bahaya akut.

Namun kebalikannya juga salah: “Moderate” atau “Low” bukan berarti “tidak penting”.

OpenSSL adalah komponen dasar. Ia dipakai dalam TLS, validasi sertifikat, operasi kriptografi, dan banyak program yang membuat koneksi aman. Jika klien VPN membawa pustaka ini, pemeliharaannya menjadi bagian dari model keamanan klien, terutama untuk laptop yang sering berpindah jaringan lalu masuk ke lingkungan internal.

Mengapa SSL VPN tetap relevan

Ada hal lain yang sudah lama mengganggu saya tentang Sophos Connect: klien ini membawa OpenSSL untuk SSL VPN, meskipun pelanggan tidak memakai SSL VPN.

Banyak lingkungan kini lebih mengandalkan IPsec. Alasannya jelas: sering lebih baik dari sisi performa, lebih mudah masuk ke desain VPN yang ada, dan terutama lebih mudah didistribusikan melalui software deployment, RMM, Intune, atau endpoint management. Di perusahaan, kita tidak ingin pengguna mengunduh installer VPN manual dari portal. Kita ingin paket, versi, jadwal rollout, dan inventaris yang jelas.

Jika pelanggan memakai Sophos Connect hanya untuk IPsec, OpenSSL untuk SSL VPN tetap menjadi bagian dari klien yang terinstal. Itu tidak berarti semua kerentanan OpenSSL otomatis praktis dieksploitasi. Tetapi pustaka itu ada, perlu dipelihara, muncul di inventaris dan vulnerability scan, serta menciptakan pekerjaan patching.

Karena itu logika update sangat penting. Jika produk menginstal komponen yang tidak dipakai semua pelanggan, vendor punya tanggung jawab khusus untuk memeliharanya secara cepat dan terlihat. Jika tidak, muncul masalah enterprise klasik: fitur secara teknis ada, secara operasional tidak dipakai, tetapi tetap harus dipatch dan dijelaskan.

Mengapa rilis khusus masuk akal

Menurut saya benar jika Sophos membuat maintenance release untuk ini.

Klien VPN bukan aplikasi desktop biasa. Ia bagian dari kontrol akses. Jika klien memakai pustaka kriptografi yang lama, ada risiko operasional, walaupun eksploitabilitas praktis tetap harus dinilai per kasus.

Untuk komponen keamanan, tiga hal penting:

  • Pemeliharaan komponen: pustaka pihak ketiga harus cepat diperbarui.
  • Keterlacakan: admin harus bisa melihat versi yang terpasang.
  • Distribusi: patch harus sampai ke endpoint dengan andal.

Poin pertama terpenuhi: Sophos memperbarui OpenSSL. Poin kedua sebagian terpenuhi: release notes dan blog menyebut versinya. Poin ketiga yang menarik.

Sophos menulis bahwa installer klien terbaru didistribusikan ke firewall SFOS melalui paket Up2Date dan kemudian bisa diunduh dari WebAdmin atau portal VPN. Itu berguna karena firewall menjadi sumber lokal installer.

Tetapi itu bukan proses auto-update yang bersih dan terlihat di setiap endpoint Windows.

Jika pengguna pernah menginstal klien lalu tidak pernah memperbaruinya lagi, ketersediaan installer di firewall baru setengah jalan. Seseorang tetap harus memulai, memantau, dan menyelesaikan rollout.

Kritik utama: visibilitas

Kritik saya bukan terutama pada rilisnya. Rilis ini masuk akal.

Kritik saya adalah pada visibilitas dan ekspektasi.

Alat keamanan modern setidaknya harus menyediakan salah satu dari ini:

  • notifikasi update yang jelas di klien,
  • tampilan pusat di Sophos Central atau firewall yang menunjukkan versi klien lama,
  • mekanisme auto-update resmi dan terdokumentasi,
  • atau minimal peringatan admin jika build klien yang relevan untuk keamanan sudah usang.

Yang saya inginkan untuk Sophos Connect adalah auto-update opsional yang dapat dikendalikan. Bukan diam-diam, bukan tanpa kontrol, dan bukan melawan kebijakan perusahaan. Tetapi admin harus bisa memutuskan bahwa update klien yang relevan untuk keamanan boleh digulirkan otomatis atau semi-otomatis ke grup tertentu.

Beberapa lingkungan sudah menyelesaikan ini dengan GPO, RMM, Intune, atau software deployment. Tentu. Admin yang baik bisa melakukannya. Tetapi poin produknya tetap: untuk klien remote access, komunikasi update tidak boleh dibiarkan kebetulan.

Sophos tahu pentingnya otomasi update. Firewall punya pattern updates, hotfix, pemberitahuan firmware, dan visibilitas Central. Produk endpoint memang diharapkan update otomatis. Mengapa klien VPN masih terasa manual?

Ini bukan masalah mewah. Ini area tempat celah kecil bisa bertahan terlalu lama.

Apa yang harus dilakukan admin

Pertama: periksa apakah Sophos Firewall sudah menerima installer Sophos Connect baru. Sophos menyebut installer dikirim ke firewall SFOS lewat Up2Date lalu tersedia di WebAdmin atau portal VPN.

Kedua: periksa versi Sophos Connect yang terpasang di klien Windows. Jika tidak ada inventaris pusat, itu masalah utamanya. Gunakan RMM, Intune, GPO, endpoint management, atau script.

Ketiga: uji skenario nyata, bukan hanya pengguna standar:

  • SSL VPN dengan username, password, dan MFA
  • IPsec dengan OTP, jika digunakan
  • Microsoft Entra ID SSO
  • file provisioning
  • sertifikat dengan karakter khusus
  • reconnect setelah gangguan Internet
  • beberapa pengguna Windows pada perangkat yang sama

Jika hanya memakai IPsec, update tetap jangan diabaikan. Periksa apakah klien berjalan baik, profil terdistribusi sesuai rencana, dan inventaris mengenali versi baru. OpenSSL mungkin bukan jalur VPN aktif, tetapi pustaka itu tetap bagian dari klien.

Keempat: lakukan rollout terencana. Tidak panik, tetapi juga bukan “nanti saja”. OpenSSL 3.3.7 adalah security patch release. Klien VPN dengan OpenSSL bukan sesuatu yang ditunda sampai laptop berikutnya diganti.

Kelima: komunikasikan dengan jelas. Pengguna tidak perlu memahami RSASVE, DANE, atau CMS KeyAgreeRecipientInfo. Mereka perlu tahu bahwa klien VPN diperbarui, koneksi perlu dites setelahnya, dan ke mana harus melapor jika SSO, OTP, atau provisioning bermasalah.

Apa yang harus ditingkatkan Sophos

Saya menginginkan tiga hal dari Sophos Connect.

Pertama: informasi update yang jelas di dalam klien. Jika versi baru yang relevan untuk keamanan tersedia, pengguna atau setidaknya admin lokal harus melihatnya. Lebih baik lagi jika ada jalur auto-update yang dapat dikendalikan.

Kedua: tampilan admin pusat. Sophos Central atau firewall harus menunjukkan versi Sophos Connect yang dikenal di lingkungan dan mana yang sudah usang. Jika klien tidak dikelola pusat, setidaknya perlu rekomendasi inventaris dan rollout yang jelas.

Ketiga: komunikasi rilis yang lebih baik. Blog komunitas boleh menjadi pengumuman. Tetapi untuk komponen klien yang relevan untuk keamanan, “baca blog dan unduh installer” bukan model operasi, apalagi jika versi OpenSSL dasarnya sudah tersedia sejak April.

Saya tidak ingin menjelekkan Sophos. Justru sebaliknya: memperbarui OpenSSL itu positif. Menyebut versi di release notes itu positif. Distribusi installer melalui firewall itu praktis.

Tetapi pada 2026 vendor keamanan seharusnya melakukan lebih banyak untuk klien remote access.

Kesimpulan saya

Sophos Connect 2.5 MR1 bukan rilis yang glamor. Justru karena itu menarik.

Ini menunjukkan seperti apa operasi keamanan sebenarnya: bukan hanya fitur besar, tetapi pemeliharaan komponen, fix kecil klien, detail sertifikat, perilaku SSO, reconnect OTP, dan pertanyaan apakah update benar-benar sampai ke semua endpoint.

OpenSSL 3.3.7 adalah security patch release. Sophos benar mengintegrasikannya ke Sophos Connect. Admin benar jika tidak mengabaikan update ini. Tetapi jeda dari April ke Juni cukup panjang untuk mempertanyakan kecepatan dan visibilitas.

Poin arsitektur juga tetap ada: Sophos Connect menginstal komponen SSL VPN dengan OpenSSL walaupun lingkungan terutama atau hanya memakai IPsec. Secara teknis ini bisa masuk akal karena Sophos menyediakan klien gabungan. Secara operasional, ini berarti tanggung jawab tambahan. Apa yang terinstal harus bisa diperbarui dengan andal.

Sophos perlu menerima pertanyaan tidak nyaman: mengapa admin harus aktif mengikuti blog untuk mengetahui update klien VPN seperti ini?

Untuk alat keamanan yang melindungi akses ke jaringan internal, itu belum cukup.

Sampai jumpa lagi,
Joe

FAQ

Apa yang baru di Sophos Connect 2.5 MR1 untuk Windows?
Sophos Connect 2.5 MR1 memperbarui OpenSSL ke versi 3.3.7 dan memperbaiki masalah auto-start, status SSO, reconnect OTP, serta provisioning SSL VPN dengan sertifikat.
Mengapa OpenSSL 3.3.7 penting?
OpenSSL 3.3.7 adalah security patch release dari 7 April 2026. Rilis ini memperbaiki beberapa kerentanan, termasuk masalah moderate pada RSA KEM RSASVE Encapsulation dan masalah dengan tingkat lebih rendah pada DANE, CRL, dan CMS. Sophos Connect 2.5 MR1 muncul pada 18 Juni 2026, sekitar sepuluh minggu kemudian.
Apakah pengguna harus memperbarui Sophos Connect sendiri?
Tergantung model operasi. Sophos menyediakan installer lewat firewall atau download langsung. Di lingkungan terkelola, admin sebaiknya melakukan rollout pusat dan tidak mengandalkan pengguna membaca blog.
Apakah OpenSSL relevan jika kami hanya memakai IPsec?
Ya, setidaknya secara operasional. Jika Sophos Connect menginstal OpenSSL untuk SSL VPN, pustaka itu menjadi bagian dari klien terinstal meskipun lingkungan terutama memakai IPsec. Ini tidak otomatis berarti bisa dieksploitasi, tetapi berarti ada kebutuhan patch, inventaris, dan penjelasan.
Sumber

Artikel terkait

Sophos vs WatchGuard: perbandingan firewall 2026

Sophos vs WatchGuard: perbandingan firewall 2026

Sophos vs Cisco Meraki: perbandingan firewall

Sophos vs Cisco Meraki: perbandingan firewall

Sophos vs Check Point 2026: perbandingan firewall dari praktik

Sophos vs Check Point 2026: perbandingan firewall dari praktik

Cari