CISA Peringatkan Celah Kritis Microsoft SharePoint Tengah Dieksploitasi Peretas
Badan Keamanan Siber dan Infrastruktur AS (CISA) mengeluarkan peringatan darurat menyusul temuan kerentanan kritis pada Microsoft SharePoint yang kini dieksploitasi secara aktif dalam berbagai serangan siber. Meskipun celah keamanan ini sejatinya telah mendapatkan tambalan (patch) pada pembaruan rutin bulan Januari, gelombang eksploitasinya baru terpantau masif baru-baru ini.
Dilacak dengan kode CVE-2026-20963, kerentanan ini berdampak langsung pada sejumlah lini produk perusahaan, meliputi SharePoint Enterprise Server 2016, SharePoint Server 2019, dan SharePoint Server Subscription Edition. Pihak otoritas juga mencatat bahwa versi lawas seperti edisi 2007, 2010, dan 2013 turut rentan terhadap serangan ini. Namun, karena versi tersebut telah memasuki masa habis dukungan (end-of-support) dan tidak lagi menerima pembaruan keamanan, administrator sistem sangat disarankan untuk melakukan peningkatan sistem (upgrade) ke versi yang lebih baru guna memblokir potensi intrusi.
Ancaman Eksekusi Kode Jarak Jauh (RCE)
Eksploitasi yang berhasil terhadap kerentanan ini membawa dampak yang sangat fatal. Pelaku ancaman (threat actors) yang sama sekali tidak memiliki hak istimewa (privileges) dapat mencapai tingkat eksekusi kode jarak jauh (RCE) pada server yang belum ditambal. Serangan ini diklasifikasikan memiliki tingkat kompleksitas rendah, di mana peretas memanfaatkan kelemahan pada proses deserialisasi data yang tidak tepercaya (untrusted data weakness).
Pihak Microsoft sebelumnya telah mengonfirmasi mekanisme serangan ini saat merilis tambalan pada Patch Tuesday Januari 2026. Dalam skenario serangan berbasis jaringan, penyerang yang tidak diautentikasi mampu menyuntikkan kode arbitrer dan mengeksekusinya secara langsung pada server SharePoint sasaran, memberi mereka kendali yang signifikan atas infrastruktur yang dikompromikan.
Mandat CISA untuk Instansi Federal
Meski Microsoft telah memperbarui imbauan keamanan terkait CVE-2026-20963 pada pekan ini, raksasa teknologi tersebut belum secara resmi mengklasifikasikannya sebagai ancaman yang dieksploitasi di alam liar (exploited in the wild). Namun, CISA mengambil langkah proaktif dengan memasukkan kerentanan ini ke dalam katalog kerentanan yang aktif dieksploitasi.
Menindaklanjuti temuan tersebut, CISA secara tegas menginstruksikan seluruh badan di bawah Federal Civilian Executive Branch (FCEB)—yang mencakup lembaga non-militer AS seperti Departemen Keamanan Dalam Negeri, Departemen Energi, dan Departemen Kehakiman—untuk segera mengamankan server mereka selambat-lambatnya pada 21 Maret.
Sejauh ini, CISA belum merilis rincian lebih lanjut mengenai aktor di balik kampanye serangan CVE-2026-20963 dan belum menemukan bukti bahwa celah ini dimanfaatkan untuk penyebaran ransomware. Walaupun mandat operasional ini secara hukum hanya mengikat instansi federal AS, badan keamanan tersebut sangat mendesak seluruh administrator jaringan di sektor publik maupun swasta untuk segera menerapkan mitigasi sesuai instruksi vendor. Arahan ketat ini menyusul peringatan serupa dari CISA pada hari sebelumnya yang juga memerintahkan penambalan darurat terhadap kerentanan XSS pada server Zimbra Collaboration Suite.
