CISA Perintahkan Lembaga Federal AS Menambal Celah GeoServer yang Aktif Dieksploitasi
Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) mengeluarkan perintah kepada seluruh lembaga federal untuk segera menambal celah keamanan kritis pada GeoServer yang saat ini tengah dieksploitasi secara aktif. Kerentanan tersebut dimanfaatkan dalam serangan XML External Entity (XXE) yang berpotensi membahayakan sistem pemerintah.
Dalam skenario serangan XXE, pelaku menyisipkan referensi entitas eksternal ke dalam input XML yang kemudian diproses oleh parser XML dengan konfigurasi lemah. Kondisi ini memungkinkan penyerang melancarkan serangan penolakan layanan, mengakses data rahasia, hingga melakukan Server-Side Request Forgery (SSRF) untuk berinteraksi dengan sistem internal.
Celah keamanan yang dimaksud tercatat sebagai CVE-2025-58360. Kerentanan ini merupakan XXE tanpa autentikasi yang memengaruhi GeoServer versi 2.26.1 dan versi sebelumnya. GeoServer sendiri merupakan perangkat lunak sumber terbuka yang banyak digunakan untuk membagikan data geospasial melalui internet. Melalui celah ini, penyerang dapat mengambil file arbitrer dari server yang rentan.
Pihak pengembang GeoServer menjelaskan bahwa aplikasi menerima input XML melalui endpoint tertentu pada operasi GetMap. Namun, input tersebut tidak disanitasi atau dibatasi dengan memadai, sehingga memungkinkan penyerang mendefinisikan entitas eksternal di dalam permintaan XML.
Data pemantauan menunjukkan skala paparan yang cukup luas. Kelompok pemantau keamanan internet Shadowserver saat ini melacak lebih dari dua ribu alamat IP dengan jejak GeoServer, sementara pemindaian Shodan mengindikasikan lebih dari 14 ribu instance GeoServer masih terbuka dan dapat diakses secara daring.
Menanggapi kondisi tersebut, CISA memasukkan CVE-2025-58360 ke dalam katalog Known Exploited Vulnerabilities (KEV). Lembaga ini menegaskan bahwa celah tersebut telah digunakan dalam serangan nyata dan mewajibkan seluruh Federal Civilian Executive Branch (FCEB) untuk menambal sistem terdampak paling lambat 1 Januari 2026. Kewajiban ini mengacu pada Binding Operational Directive (BOD) 22-01 yang diterbitkan pada November 2021.
FCEB mencakup berbagai lembaga sipil non-militer di bawah cabang eksekutif Amerika Serikat, termasuk Departemen Energi, Departemen Keuangan, Departemen Keamanan Dalam Negeri, serta Departemen Kesehatan dan Layanan Kemanusiaan.
Meski aturan BOD 22-01 secara formal hanya berlaku bagi lembaga federal, CISA tetap mengimbau seluruh pengelola jaringan dan administrator sistem untuk memprioritaskan penambalan celah ini. Menurut CISA, kerentanan semacam ini kerap menjadi vektor serangan utama bagi aktor siber berbahaya dan menimbulkan risiko signifikan terhadap infrastruktur digital.
CISA juga menekankan pentingnya mengikuti panduan mitigasi dari vendor, menerapkan kebijakan keamanan yang relevan untuk layanan cloud, atau menghentikan penggunaan produk apabila mitigasi tidak tersedia.
Sebelumnya, CISA telah beberapa kali menambahkan kerentanan GeoServer ke dalam daftar celah yang aktif dieksploitasi. Salah satunya bahkan dilaporkan digunakan untuk menembus sistem sebuah lembaga pemerintah Amerika Serikat pada 2024 akibat penggunaan GeoServer yang belum diperbarui.
