CISA Peringatkan Kerentanan Kritis Microsoft SCCM Dieksploitasi dalam Serangan
Badan keamanan siber Amerika Serikat, CISA (Cybersecurity and Infrastructure Security Agency), resmi memasukkan kerentanan kritis pada Microsoft Configuration Manager ke dalam daftar eksploitasi aktif dan memerintahkan lembaga pemerintah untuk segera melakukan patching.
Kerentanan tersebut dilacak sebagai CVE-2024-43468 dan sebelumnya telah diperbaiki Microsoft pada Oktober 2024. Namun kini diketahui sudah digunakan dalam serangan nyata di lapangan.
🎯 Apa Itu Microsoft Configuration Manager (SCCM)?
Microsoft Configuration Manager
Microsoft Configuration Manager—dikenal juga sebagai ConfigMgr atau sebelumnya System Center Configuration Manager (SCCM)—adalah solusi manajemen IT untuk mengelola ribuan perangkat Windows dalam lingkungan enterprise.
Tool ini digunakan untuk:
- Deployment sistem operasi
- Patch management
- Software distribution
- Monitoring endpoint
- Manajemen server & workstation skala besar
Karena perannya yang sangat sentral dalam infrastruktur perusahaan, eksploitasi terhadap SCCM bisa berdampak sangat serius.
⚠️ Detail Kerentanan CVE-2024-43468
Kerentanan ini ditemukan oleh perusahaan keamanan ofensif Synacktiv dan merupakan SQL Injection yang memungkinkan:
- Eksploitasi tanpa autentikasi (unauthenticated)
- Eksekusi kode jarak jauh (Remote Code Execution / RCE)
- Eksekusi perintah dengan hak akses tertinggi pada server
- Akses ke database Configuration Manager
Microsoft sebelumnya menilai eksploitasi sebagai “Exploitation Less Likely” karena dianggap membutuhkan keahlian tinggi. Namun, situasi berubah setelah Synacktiv merilis proof-of-concept (PoC) exploit pada 26 November 2024.
Kini, CISA mengonfirmasi bahwa kerentanan ini telah digunakan dalam serangan aktif.
🚨 CISA Wajibkan Patch Sebelum 5 Maret
Cybersecurity and Infrastructure Security Agency
CISA telah memasukkan CVE-2024-43468 ke dalam Known Exploited Vulnerabilities (KEV) catalog dan mengeluarkan instruksi kepada lembaga Federal Civilian Executive Branch (FCEB) untuk:
- Mengamankan sistem paling lambat 5 Maret 2026
- Mengikuti panduan vendor
- Menghentikan penggunaan produk jika mitigasi tidak tersedia
Meski kewajiban ini hanya berlaku untuk lembaga pemerintah AS, CISA juga mendorong sektor swasta untuk segera melakukan patching.
🔍 Mengapa Ini Berbahaya?
Karena SCCM digunakan untuk mengelola perangkat dalam skala besar, jika server SCCM berhasil dikompromikan, attacker dapat:
- Menyebarkan malware ke seluruh endpoint
- Mengambil alih server dan workstation
- Mengakses database sensitif
- Melakukan lateral movement dalam jaringan enterprise
Dalam skenario terburuk, ini bisa menjadi pintu masuk ransomware skala besar.
✅ Apa yang Harus Dilakukan?
Jika organisasi Anda masih menggunakan SCCM:
- Pastikan patch Oktober 2024 sudah terpasang
- Audit server SCCM untuk indikasi kompromi
- Batasi akses jaringan ke server ConfigMgr
- Monitor aktivitas anomali pada database site
- Terapkan prinsip least privilege
Jangan menunda patching, terutama jika server SCCM terekspos ke jaringan yang tidak sepenuhnya terisolasi.
📌 Kesimpulan
Kerentanan CVE-2024-43468 pada Microsoft Configuration Manager kini bukan lagi risiko teoritis—melainkan sudah dieksploitasi secara aktif.
Organisasi yang belum melakukan patch sejak Oktober 2024 berada dalam risiko tinggi dan harus segera melakukan tindakan mitigasi.
