CISA Beri Tenggat Waktu Hingga Minggu untuk Tambal Celah Kritis Cisco

Badan Keamanan Siber dan Infrastruktur AS (CISA) telah menginstruksikan seluruh instansi federal untuk segera menambal kerentanan dengan tingkat keparahan maksimum pada Cisco Secure Firewall Management Center (FMC). Mengingat tingginya risiko dari ancaman ini, CISA memberikan tenggat waktu yang sangat ketat, yakni selambat-lambatnya hari Minggu, 22 Maret.

Sebagai informasi, Cisco Secure FMC merupakan sistem administrasi terpusat yang sangat krusial untuk mengelola berbagai perangkat keamanan jaringan Cisco, seperti firewall, kontrol aplikasi, pencegahan intrusi (IPS), penyaringan URL, dan perlindungan malware.

Ancaman Eksekusi Kode Root Tanpa Autentikasi

Kerentanan yang dilacak sebagai CVE-2026-20131 ini pertama kali diumumkan melalui buletin keamanan Cisco pada 4 Maret lalu. Perusahaan mendesak para administrator sistem untuk segera menerapkan pembaruan keamanan karena tidak ada solusi mitigasi sementara (workarounds) yang tersedia untuk membendung celah ini.

Menurut pihak Cisco, masalah ini berakar dari proses deserialisasi aliran bita (byte stream) Java yang tidak aman. Jika dieksploitasi, peretas jarak jauh yang tidak diautentikasi dapat mengirimkan objek Java terserialisasi yang dirancang khusus ke antarmuka manajemen berbasis web perangkat target. Akses ini memungkinkan mereka untuk mengeksekusi kode Java secara sewenang-wenang dengan hak akses tertinggi (root).

Eksploitasi Zero-Day oleh Ransomware Interlock

Situasi menjadi semakin mendesak setelah Cisco memperbarui buletinnya pada 18 Maret untuk mengonfirmasi bahwa celah ini telah dieksploitasi secara aktif di alam liar (in the wild). Peneliti intelijen ancaman dari Amazon membenarkan bahwa geng ransomware Interlock telah memanfaatkan kerentanan ini sebagai serangan zero-day sejak akhir Januari—lebih dari sebulan sebelum pihak vendor merilis patch resmi.

Kelompok ransomware Interlock sendiri telah mengklaim sejumlah korban berprofil tinggi sejak kemunculannya pada akhir 2024, termasuk DaVita, Kettering Health, sistem Texas Tech University, dan infrastruktur kota Saint Paul di Minnesota. Dalam operasinya, pelaku ancaman ini diketahui menggunakan teknik ClickFix untuk mendapatkan akses awal, serta mengerahkan trojan akses jarak jauh (RAT) khusus dan varian malware seperti NodeSnake dan Slopoly.

Menyusul bukti eksploitasi aktif tersebut, CISA secara resmi memasukkan CVE-2026-20131 ke dalam katalog Kerentanan yang Diketahui Dieksploitasi (KEV) dan menandainya sebagai celah yang “diketahui digunakan dalam kampanye ransomware“.

Tenggat waktu penerapan patch keamanan hingga hari Minggu ini secara hukum mengikat seluruh lembaga di bawah cabang eksekutif sipil federal (FCEB) AS. Kendati demikian, CISA sangat mendesak perusahaan swasta, pemerintah daerah, dan seluruh organisasi non-FCEB untuk mempertimbangkan peringatan ini secara serius dan segera memperbarui sistem mereka untuk mencegah potensi pembobolan jaringan.