Security

Ivanti Rilis Peringatan Darurat: Kerentanan Zero-Day Baru Dieksploitasi di EPMM

3 hours ago
2 minutes read

Ivanti kembali mengeluarkan peringatan keras kepada para pelanggannya untuk segera menambal kerentanan eksekusi kode jarak jauh (Remote Code Execution/RCE) tingkat tinggi pada produk Endpoint Manager Mobile (EPMM) yang saat ini tengah dieksploitasi dalam serangan zero-day.

Ancaman terbaru ini dilacak dengan kode CVE-2026-6973. Kerentanan ini berakar pada kelemahan validasi input yang tidak tepat (Improper Input Validation), yang memungkinkan penyerang jarak jauh dengan hak istimewa administrator untuk mengeksekusi kode berbahaya pada sistem target yang menjalankan EPMM versi 12.8.0.0 dan yang lebih lama.

Status Eksploitasi dan Langkah Mitigasi

Meskipun eksploitasi yang terdeteksi saat ini dilaporkan masih “sangat terbatas” dan membutuhkan otentikasi admin untuk dapat berhasil, ancaman ini tetap kritis.

Ivanti menyarankan administrator sistem untuk segera melakukan langkah mitigasi berikut:

  1. Pembaruan Patch: Instal pembaruan Ivanti EPMM versi 12.6.1.1, 12.7.0.1, atau 12.8.0.1.
  2. Audit Kredensial: Tinjau ulang semua akun yang memiliki hak akses Admin. Sangat disarankan untuk merotasi (rotate) atau mengganti kata sandi kredensial tersebut jika diperlukan.

Pihak perusahaan mengklarifikasi bahwa masalah ini hanya memengaruhi produk EPMM on-premise. Solusi manajemen endpoint berbasis cloud seperti Ivanti Neurons for MDM, Ivanti EPM, dan Ivanti Sentry dipastikan aman dari kerentanan ini.

Menurut data dari pemantau keamanan internet Shadowserver, saat ini terdapat lebih dari 850 alamat IP dengan fingerprint Ivanti EPMM yang terekspos langsung ke internet. Sebagian besar perangkat yang rentan tersebut berlokasi di Eropa (508) dan Amerika Utara (182).

Patch Tambahan untuk Empat Kerentanan Kritis Lainnya

Bersamaan dengan patch untuk zero-day ini, Ivanti juga menambal empat kerentanan EPMM tingkat tinggi lainnya:

  • CVE-2026-5786, CVE-2026-5787, CVE-2026-5788: Celah yang memungkinkan penyerang mendapatkan akses admin, menyamar sebagai host Sentry terdaftar untuk mencuri sertifikat klien, dan mengeksekusi metode secara sewenang-wenang.
  • CVE-2026-7821: Memungkinkan akses ke informasi terbatas tanpa hak istimewa (hanya berdampak pada pengguna yang mengonfigurasi Apple Device Enrollment).

Hingga saat ini, belum ada bukti bahwa keempat celah tambahan tersebut telah dieksploitasi secara liar.

Jejak Buruk Ivanti di Mata CISA

Peringatan keamanan dari Ivanti telah menjadi sorotan rutin di komunitas keamanan siber. Pada bulan Januari lalu, Ivanti juga menambal dua kerentanan injeksi kode kritis lainnya di EPMM (CVE-2026-1281 dan CVE-2026-1340). CISA (Badan Keamanan Siber dan Infrastruktur AS) bahkan sempat memberi tenggat waktu hanya 4 hari bagi lembaga pemerintah AS untuk mengamankan sistem mereka dari serangan tersebut.

Secara total, CISA telah menandai 33 kerentanan Ivanti sebagai celah yang aktif dieksploitasi di alam liar, dengan 12 di antaranya sering disalahgunakan oleh berbagai operator ransomware global. Mengingat produk Ivanti digunakan oleh lebih dari 40.000 pelanggan korporat di seluruh dunia, kecepatan penambalan sistem menjadi sangat krusial.

Sumber: Laporan Insiden Ivanti

Tags
3 hours ago
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button