Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) memperingatkan bahwa kerentanan keamanan pada Ivanti Endpoint Manager (EPM) kini telah dieksploitasi secara aktif dalam serangan siber. Lembaga tersebut juga memerintahkan instansi pemerintah federal untuk segera menambal sistem yang terdampak dalam waktu maksimal tiga minggu.
Ivanti Endpoint Manager merupakan solusi manajemen endpoint terpadu yang digunakan untuk mengelola perangkat klien di berbagai platform, termasuk Windows, macOS, Linux, Chrome OS, hingga perangkat IoT.
Kerentanan Memungkinkan Bypass Autentikasi
Celah keamanan tersebut dilacak sebagai CVE-2026-1603 dan dikategorikan sebagai kerentanan dengan tingkat keparahan tinggi.
Kerentanan ini memungkinkan penyerang jarak jauh tanpa hak akses untuk melewati mekanisme autentikasi dan mencuri data kredensial melalui serangan cross-site scripting (XSS) dengan kompleksitas rendah.
Yang membuatnya semakin berbahaya, eksploitasi celah ini tidak memerlukan interaksi pengguna sama sekali.
Ivanti sebenarnya telah merilis perbaikan untuk kerentanan tersebut sekitar satu bulan lalu melalui pembaruan Ivanti EPM 2024 SU5. Pembaruan yang sama juga menutup kerentanan SQL injection yang dapat dimanfaatkan oleh penyerang terautentikasi untuk membaca data secara sembarangan dari database sistem.
CISA Masukkan ke Daftar Kerentanan yang Aktif Dieksploitasi
Meskipun Ivanti menyatakan belum menerima laporan eksploitasi sebelum pengungkapan publik, CISA kini telah memasukkan CVE-2026-1603 ke dalam Known Exploited Vulnerabilities (KEV) Catalog.
Daftar tersebut berisi kerentanan yang diketahui telah digunakan dalam serangan nyata dan dianggap memiliki risiko tinggi bagi organisasi.
Menurut CISA, celah keamanan seperti ini sering menjadi jalur masuk bagi pelaku kejahatan siber dan dapat menimbulkan ancaman signifikan terhadap infrastruktur pemerintah.
Instansi Pemerintah Wajib Patch dalam Tiga Minggu
Sebagai bagian dari kebijakan keamanan federal, CISA memerintahkan seluruh lembaga Federal Civilian Executive Branch (FCEB) untuk memperbarui sistem yang terdampak paling lambat 23 Maret 2026.
Instruksi ini mengacu pada Binding Operational Directive (BOD) 22-01 yang diterbitkan pada November 2021, yang mewajibkan lembaga federal segera menambal kerentanan yang tercantum dalam katalog KEV.
Ratusan Server Ivanti EPM Terpapar Internet
Platform pemantauan ancaman Shadowserver mencatat lebih dari 700 instance Ivanti EPM yang dapat diakses dari internet, sebagian besar berada di wilayah Amerika Utara.
Namun hingga saat ini belum diketahui berapa banyak dari sistem tersebut yang masih rentan terhadap eksploitasi CVE-2026-1603.
Ivanti Sering Menjadi Target Serangan
Kerentanan pada produk Ivanti Endpoint Manager bukan pertama kali menjadi sasaran pelaku ancaman.
Sekitar satu tahun lalu, CISA juga memperingatkan lembaga pemerintah mengenai tiga celah keamanan lain pada EPM yang diketahui telah dieksploitasi secara aktif, yaitu CVE-2024-13159, CVE-2024-13160, dan CVE-2024-13161.
Selain itu, pada Oktober 2024, badan keamanan siber tersebut juga mengeluarkan perintah bagi instansi pemerintah untuk segera menambal kerentanan CVE-2024-29824 yang juga dieksploitasi dalam serangan nyata.
Ivanti sendiri merupakan penyedia solusi manajemen sistem dan aset IT yang digunakan oleh lebih dari 40.000 perusahaan di seluruh dunia melalui jaringan lebih dari 7.000 mitra.