Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) telah mengeluarkan peringatan mendesak kepada seluruh lembaga federal AS. Mereka diberi waktu hanya empat hari untuk mengamankan jaringan mereka dari kerentanan tingkat tinggi pada Ivanti Endpoint Manager Mobile (EPMM) yang saat ini tengah dieksploitasi dalam serangan zero-day.
Kerentanan keamanan yang dilacak sebagai CVE-2026-6973 ini memungkinkan penyerang yang memiliki hak istimewa administratif untuk mengeksekusi kode berbahaya secara jarak jauh (Remote Code Execution/RCE). Celah ini berdampak pada sistem yang menjalankan EPMM versi 12.8.0.0 dan yang lebih lama.
Langkah Mitigasi dan Peringatan CISA
Dalam imbauan keamanan yang dirilis pada hari Kamis, Ivanti menginstruksikan pelanggan untuk segera mengamankan infrastruktur mereka dengan menginstal patch pembaruan ke versi 12.6.1.1, 12.7.0.1, atau 12.8.0.1. Selain itu, administrator sistem diwajibkan untuk meninjau ulang seluruh akun yang memiliki hak akses Admin dan merotasi (rotate) kredensial tersebut jika diperlukan.
“Pada saat pengungkapan ini, kami menyadari adanya eksploitasi yang sangat terbatas pada CVE-2026-6973, yang membutuhkan otentikasi admin agar eksploitasi berhasil,” ungkap pihak Ivanti. Perusahaan juga menegaskan bahwa masalah ini hanya berdampak pada produk EPMM on-premise, dan tidak memengaruhi solusi cloud mereka seperti Ivanti Neurons for MDM atau produk lainnya.
Menanggapi tingkat keparahan ancaman ini, CISA langsung memasukkan celah keamanan tersebut ke dalam daftar Kerentanan yang Diketahui Dieksploitasi (KEV) dan mewajibkan seluruh agen federal untuk menambal sistem EPMM mereka selambat-lambatnya pada tengah malam di hari Minggu, 10 Mei 2026.
“Tipe kerentanan seperti ini adalah vektor serangan yang sering digunakan oleh pelaku siber berbahaya dan menimbulkan risiko signifikan bagi instansi federal,” peringat CISA.
Ratusan Perangkat Masih Terekspos
Berdasarkan data pantauan dari organisasi keamanan nirlaba Shadowserver, saat ini masih terdapat lebih dari 800 perangkat Ivanti EPMM yang terekspos secara online ke internet publik. Sayangnya, belum ada data pasti mengenai berapa banyak dari perangkat tersebut yang telah ditambal dari kerentanan CVE-2026-6973.
Insiden ini menambah daftar panjang masalah keamanan pada produk Ivanti. Pada akhir Januari lalu, Ivanti juga harus menambal dua masalah keamanan EPMM kritis lainnya (CVE-2026-1281 dan CVE-2026-1340) yang juga dieksploitasi secara zero-day. Pada 8 April, CISA juga menerapkan tenggat waktu empat hari yang sama bagi lembaga pemerintah AS untuk mengamankan sistem mereka dari celah tersebut.
“Jika pelanggan mengikuti rekomendasi Ivanti pada bulan Januari untuk merotasi kredensial (saat dieksploitasi dengan CVE-2026-1281 dan CVE-2026-1340), maka risiko Anda untuk dieksploitasi dari CVE-2026-6973 akan berkurang secara signifikan,” tambah perusahaan tersebut.
Sebagai informasi, solusi manajemen aset TI dari Ivanti saat ini digunakan oleh lebih dari 40.000 klien di seluruh dunia dan didukung oleh jaringan luas yang mencakup lebih dari 7.000 mitra korporat.
Sumber: CISA