Satu Aktor Ancaman Diduga Bertanggung Jawab atas 83% Serangan RCE Ivanti Terbaru

Observasi intelijen ancaman menunjukkan bahwa satu aktor ancaman tunggal bertanggung jawab atas mayoritas eksploitasi aktif terhadap dua kerentanan kritis di Ivanti Endpoint Manager Mobile (EPMM), yakni CVE-2026-21962 dan CVE-2026-24061.

Kedua celah keamanan tersebut telah ditandai sebagai dieksploitasi secara aktif dalam serangan zero-day dan memungkinkan eksekusi kode jarak jauh (Remote Code Execution/RCE) tanpa autentikasi.

Dua Kerentanan Kritis Ivanti

Vendor keamanan Ivanti sebelumnya mengumumkan hotfix untuk dua celah tersebut, yang memiliki tingkat keparahan kritis karena memungkinkan:

• Injeksi kode tanpa autentikasi
• Eksekusi perintah jarak jauh pada sistem rentan
• Pengambilalihan penuh server EPMM

Namun, patch permanen baru dijadwalkan rilis pada kuartal pertama tahun ini melalui versi EPMM 12.8.0.0.

83% Eksploitasi Berasal dari Satu IP

Perusahaan intelijen internet berbasis ancaman GreyNoise melaporkan bahwa:

• 417 sesi eksploitasi tercatat antara 1–9 Februari
• Berasal dari 8 IP unik
• 83% aktivitas berasal dari satu alamat IP: 193.24.123.42

IP tersebut dihosting oleh PROSPERO OOO (AS200593), yang sebelumnya ditandai sebagai infrastruktur “bulletproof”—jenis layanan hosting yang sering digunakan pelaku kejahatan siber karena toleran terhadap aktivitas berbahaya.

Lonjakan tajam terjadi pada 8 Februari dengan 269 sesi dalam satu hari—sekitar 13 kali lipat dari rata-rata harian.

Pola Serangan Otomatis & Broker Akses Awal

Dari 417 sesi:

• 354 (85%) menggunakan teknik callback DNS gaya OAST
• Indikasi kuat aktivitas broker akses awal (initial access broker)
• Aktivitas sepenuhnya otomatis
• Menggunakan rotasi sekitar 300 user-agent berbeda

Menariknya, IP dominan tersebut tidak tercantum dalam daftar indikator kompromi (IoC) yang dipublikasikan luas, sehingga organisasi yang hanya memblokir IoC publik kemungkinan masih terekspos.

Bukan Hanya Ivanti yang Disasar

Alamat IP yang sama juga terdeteksi mengeksploitasi:

• Kerentanan Oracle WebLogic (2.902 sesi)
• Celah GNU Inetutils Telnetd (497 sesi)
• CVE-2025-24799 pada GLPI

Volume eksploitasi terbesar justru terjadi pada Oracle WebLogic, menunjukkan operasi berskala luas dan lintas platform.

Rekomendasi Mitigasi dari Ivanti

Ivanti menyarankan pelanggan untuk:

1. Segera menerapkan patch sementara (RPM packages yang sesuai versi EPMM)
2. Meninjau sistem untuk tanda-tanda eksploitasi sebelum patch diterapkan
3. Menggunakan skrip deteksi eksploitasi yang dikembangkan bersama otoritas keamanan siber Belanda
4. Dalam pendekatan paling konservatif, membangun instance EPMM baru dan memigrasikan data

Ivanti menegaskan bahwa patch dapat diterapkan dalam hitungan detik tanpa downtime.

Risiko bagi Organisasi

Eksploitasi tanpa autentikasi terhadap platform manajemen endpoint sangat berisiko karena:

• Dapat memberikan akses administratif penuh
• Berpotensi menjadi pintu masuk ransomware
• Memungkinkan pergerakan lateral dalam jaringan

Serangan yang tampak terkoordinasi dan terotomatisasi ini menunjukkan bahwa eksploitasi massal terhadap sistem enterprise masih menjadi strategi utama aktor ancaman.

Organisasi yang belum menerapkan pembaruan keamanan sangat disarankan untuk segera melakukan mitigasi sebelum eksploitasi meluas lebih jauh.