Security

Cisco Rilis Tambalan Darurat untuk Kerentanan Kritis Unified CM, Kode PoC Telah Beredar Publik

1 hour ago
2 minutes read

Perusahaan raksasa jejaring Cisco resmi merilis pembaruan keamanan darurat untuk menambal celah keamanan kritis pada platform Cisco Unified Communications Manager (Unified CM). Celah ini diklasifikasikan sangat berbahaya karena memungkinkan penyerang jarak jauh untuk mengambil alih kendali sistem dengan hak akses tertinggi (Root).

Cisco Unified CM (yang sebelumnya populer dengan nama Cisco CallManager) merupakan komponen sistem kendali pusat untuk ekosistem telepon IP (IP telephony) buatan Cisco, yang bertugas menangani manajemen perangkat, rute panggilan, hingga fitur-fitur telepon korporasi.

Mekanisme Serangan CVE-2026-20230: Modus SSRF Kompleksitas Rendah

Celah keamanan yang diidentifikasi dengan kode CVE-2026-20230 ini dapat dieksploitasi secara jarak jauh (remote) oleh aktor ancaman tanpa memerlukan hak akses khusus (unauthenticated). Serangan ini dikategorikan memiliki tingkat kompleksitas rendah melalui metode Server-Side Request Forgery (SSRF).

Pernyataan Resmi Cisco: “Penyerang dapat mengeksploitasi kerentanan ini dengan cara mengirimkan permintaan HTTP kustom (crafted HTTP request) ke perangkat yang terdampak. Eksploitasi yang sukses memungkinkan penyerang untuk menulis berkas (write files) ke dalam sistem operasi dasar yang dapat digunakan di kemudian hari untuk eskalasi hak akses ke tingkat root.”

Pihak Cisco menegaskan bahwa mereka sengaja memberikan nilai peringkat dampak keamanan (Security Impact Rating) ke tingkat Kritis (Critical)—bukan High—karena dampak akhir dari serangan ini dapat memberikan hak akses kendali penuh (root privileges) kepada penyerang atas sistem operasi server.

Tim Respons Insiden Keamanan Produk Cisco (PSIRT) mengonfirmasi bahwa mereka telah mendeteksi adanya kode pembuktian konsep (Proof-of-Concept/PoC) eksploitasi CVE-2026-20230 yang telah beredar luas di publik. Kendati demikian, hingga saat ini Cisco belum menemukan bukti adanya aktivitas eksploitasi aktif secara liar yang menargetkan infrastruktur konsumen.

Kondisi Sistem yang Terdampak dan Cara Memeriksanya

Kabar baiknya, kerentanan ini hanya berdampak pada server Cisco Unified CM yang mengaktifkan layanan WebDialer. Secara setelan bawaan pabrik (default), layanan WebDialer ini berada dalam kondisi nonaktif (disabled).

Untuk memastikan apakah sistem komputer di perusahaan Anda aman atau sedang mengaktifkan layanan ini, administrator jaringan dapat melakukan pengecekan manual melalui langkah berikut:

  1. Masuk (log in) ke halaman administrasi Cisco Unified CM Administration.
  2. Pada menu navigasi, pilih opsi Cisco Unified Serviceability, lalu klik Go.
  3. Buka menu Tools > CTI Services, lalu pilih Control Center – Feature Services.
  4. Periksa status operasional dari layanan WebDialer pada daftar tersebut.

Solusi Remediasi: Mitigasi Nonaktifkan Layanan dan Jadwal Tambalan

Cisco menyatakan tidak ada metode perbaikan sementara (workaround) struktural untuk menghilangkan celah ini selain melakukan pembaruan sistem. Para administrator sangat direkomendasikan untuk segera melakukan migrasi dan instalasi ke versi aman, yaitu Cisco Unified CM versi 14SU6 atau 15SU5 (yang dijadwalkan meluncur September 2026 atau melalui paket instalasi COP).

Namun, untuk memblokir potensi serangan masuk yang memanfaatkan celah CVE-2026-20230 sebelum sempat melakukan update firmware, administrator dapat melakukan mitigasi darurat dengan menonaktifkan fitur WebDialer secara total.

Panduan Menonaktifkan WebDialer:

  1. Masuk ke antarmuka Cisco Unified CM Administration.
  2. Buka menu Navigation, pilih Cisco Unified Serviceability, lalu klik Go.
  3. Buka menu Tools, kemudian pilih Service Activation.
  4. Gulir ke bawah hingga menemukan bagian CTI Services.
  5. Hilangkan tanda centang (uncheck) pada kotak pilihan Cisco WebDialer Web Service.
  6. Klik tombol Save untuk menerapkan perubahan.

Rekam Jejak Keamanan Cisco Unified CM

Lini produk Unified CM terus menjadi target empuk bagi para peretas dalam beberapa tahun terakhir. Sebagai catatan:

  • Pada Januari 2026 kemarin, Cisco baru saja menambal celah kritis CVE-2026-20045 yang sempat dieksploitasi secara aktif sebagai serangan Zero-Day untuk melakukan eksekusi kode jarak jauh (RCE).
  • Sebelumnya, Cisco terpaksa menghapus akun pintu belakang (backdoor account) internal Unified CM yang bocor, serta menambal celah eskalasi root lain berkode CVE-2024-20253.

Berdasarkan data dari Badan Keamanan Siber dan Infrastruktur AS (CISA), dalam kurun waktu lima tahun terakhir, terdapat 91 celah keamanan produk Cisco yang masuk dalam daftar kerentanan yang dieksploitasi secara aktif di lapangan (Known Exploited Vulnerabilities), di mana enam di antaranya dilaporkan telah dimanfaatkan oleh sindikat kejahatan siber pemeras pembuat ransomware.

Sumber: Cisco Security Advisory

Tags
1 hour ago
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button