CISA Tandai Kerentanan Baru SD-WAN Cisco yang Dieksploitasi Secara Aktif

Badan Keamanan Siber dan Infrastruktur AS (CISA) telah memberikan ultimatum empat hari bagi lembaga pemerintah federal untuk segera mengamankan sistem mereka dari kerentanan Catalyst SD-WAN Manager yang ditandai telah dieksploitasi secara aktif dalam berbagai serangan.

Catalyst SD-WAN Manager (sebelumnya dikenal sebagai vManage) adalah perangkat lunak manajemen jaringan terpusat yang membantu administrator memantau dan mengelola hingga 6.000 perangkat Catalyst SD-WAN langsung dari satu dasbor.

Cisco sebenarnya telah menambal kerentanan pengungkapan informasi ini—yang dilacak sebagai CVE-2026-20133—pada akhir Februari lalu. Perusahaan menyatakan bahwa celah tersebut memungkinkan penyerang jarak jauh yang tidak terautentikasi untuk mengakses informasi sensitif pada perangkat yang belum ditambal.

“Kerentanan ini disebabkan oleh pembatasan akses sistem fail yang tidak memadai. Penyerang dapat mengeksploitasi kerentanan ini dengan mengakses API dari sistem yang terdampak,” jelas Cisco dalam keterangannya saat itu. “Eksploitasi yang berhasil dapat memungkinkan penyerang untuk membaca informasi sensitif pada sistem operasi yang mendasarinya.”

Hanya satu minggu setelah penambalan tersebut, Cisco juga mengungkapkan bahwa dua kelemahan keamanan lain yang ditambal pada hari yang sama (CVE-2026-20128 dan CVE-2026-20122) ternyata sedang dieksploitasi di alam liar (in the wild).

Instruksi CISA: Lembaga Federal Wajib Menambal Hingga Jumat

Pada hari Senin, CISA resmi memasukkan CVE-2026-20133 ke dalam Katalog Kerentanan yang Diketahui Dieksploitasi (Known Exploited Vulnerabilities/KEV) “berdasarkan bukti eksploitasi aktif.” CISA menginstruksikan lembaga Cabang Eksekutif Sipil Federal (FCEB) AS untuk mengamankan jaringan mereka selambat-lambatnya hari Jumat, 24 April.

“Harap patuhi pedoman CISA untuk menilai paparan dan memitigasi risiko terkait perangkat Cisco SD-WAN sebagaimana diuraikan dalam Arahan Darurat (Emergency Directive) CISA 26-03,” urai peringatan CISA. “Patuhi panduan BOD 22-01 yang berlaku untuk layanan cloud atau hentikan penggunaan produk jika mitigasi tidak tersedia.”

Menariknya, hingga saat ini pihak Cisco belum secara resmi mengonfirmasi laporan dari lembaga keamanan siber AS tersebut. Penasihat keamanan Cisco (PSIRT) masih mempertahankan pernyataan bahwa mereka “tidak mengetahui adanya pengumuman publik atau penggunaan berbahaya dari kerentanan yang dijelaskan dalam CVE-2026-20133.”

Rentetan Insiden Keamanan Cisco Belakangan Ini

Ini bukan kali pertama Cisco menghadapi masalah keamanan kritis dalam beberapa bulan terakhir:

• Februari 2026: Cisco menandai kerentanan bypass autentikasi kritis (CVE-2026-20127) yang dieksploitasi dalam serangan zero-day. Celah ini telah dimanfaatkan aktor ancaman untuk menambahkan peer nakal ke dalam jaringan target setidaknya sejak tahun 2023.
• Maret 2026: Perusahaan merilis pembaruan keamanan penting untuk mengatasi dua kerentanan dengan tingkat keparahan maksimum pada perangkat lunak Secure Firewall Management Center (FMC). Celah ini memungkinkan penyerang mendapatkan akses root ke sistem operasi dan mengeksekusi kode Java arbitrer dengan hak istimewa root.

Sebagai gambaran besarnya skala ancaman, selama beberapa tahun terakhir, CISA tercatat telah menandai sebanyak 91 kerentanan Cisco yang terbukti dieksploitasi di alam liar, di mana enam di antaranya telah disalahgunakan oleh berbagai sindikat ransomware.