Security

Cisco Beri Peringatan Serangan Zero-Day Kompromi Router SD-WAN, Incar Hak Akses Root

7 hours ago
2 minutes read

Raksasa teknologi jaringan Cisco kembali menerbitkan peringatan keamanan darurat terkait adanya celah keamanan Zero-Day berstatus belum ditambal (unpatched) pada platform Cisco Catalyst SD-WAN Manager. Kerentanan berbahaya ini dilaporkan tengah dieksploitasi secara aktif di lapangan oleh aktor peretas untuk meningkatkan hak akses hingga ke tingkat tertinggi (Root).

Celah keamanan yang diidentifikasi dengan kode CVE-2026-20245 ini berdampak pada seluruh metode implementasi sistem, meliputi infrastruktur lokal (On-Prem Deployment), Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud (Cisco Managed), hingga Cisco SD-WAN khusus instansi pemerintahan (FedRAMP).

Mekanisme Serangan CVE-2026-20245: Modus Injeksi File CSV

Cisco Catalyst SD-WAN Manager (yang sebelumnya populer dengan nama SD-WAN vManage) merupakan perangkat lunak manajemen jaringan terpusat yang digunakan oleh administrator untuk memantau dan mengonfigurasi hingga 6.000 perangkat router Catalyst SD-WAN melalui satu dasbor tunggal.

Menurut rilis penasihat keamanan Cisco, celah ini berakar dari kurangnya proses validasi sistem terhadap input berkas yang diunggah oleh pengguna (insufficient validation of user-supplied input).

Pernyataan Resmi Cisco: “Penyerang dapat mengeksploitasi kerentanan ini dengan cara mengunggah berkas kustom (crafted file) ke sistem yang terdampak. Eksploitasi yang sukses memungkinkan penyerang untuk meluncurkan serangan injeksi perintah (command injection) pada sistem dan meningkatkan hak akses mereka menjadi pengguna root.”

Rantai Eksploitasi (Exploit Chain)

Kendati dikategorikan berbahaya, peretas tidak bisa mengeksploitasi celah ini begitu saja secara mentah dari luar. Penyerang diwajibkan memiliki hak akses awal setingkat netadmin di dalam sistem.

Untuk mendapatkan hak akses netadmin tersebut, peretas umumnya memanfaatkan kredensial curian atau mengombinasikannya dengan eksploitasi celah keamanan lain, seperti celah CVE-2026-20182 atau CVE-2026-20127.

Dalam beberapa kasus terbatas yang dipantau oleh Cisco, eksploitasi bug ini telah berhasil dimanfaatkan peretas untuk memaksa perubahan konfigurasi ilegal (configuration change) dan mendistribusikannya ke perangkat-perangkat router tepi (edge devices) milik konsumen.

Deteksi Forensik: Mandiant Temukan Indikator Kompromi (IOC)

Tim Respons Insiden Keamanan Produk Cisco (PSIRT) mendeteksi aktivitas eksploitasi aktif ini setelah menerima laporan rahasia dari Mandiant, firma siber anak perusahaan Google Cloud.

Cisco merilis Indikator Kompromi (Indicators of Compromise / IOC) agar para administrator jaringan dapat melakukan pengecekan mandiri pada log server mereka. Admin diimbau untuk memeriksa berkas teks di direktori /var/log/scripts.log pada sistem SD-WAN untuk mendeteksi tanda-tanda mencurigakan terkait pengunggahan data konfigurasi penyewa (tenant) ke perangkat kontroler vSmart menggunakan perintah sah, seperti contoh forensik berikut:

Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0

Jika ditemukan baris instruksi serupa yang memuat file asing (seperti malicious.csv), kemungkinan besar sistem telah disusupi. Admin disarankan segera membuat laporan kompromi (admin-tech file) dan menghubungi Pusat Bantuan Teknis Cisco (TAC).

Tambalan Belum Tersedia: Rekomendasi Mitigasi Jaringan

Hingga saat ini, Cisco belum merilis pembaruan firmware atau patch keamanan resmi untuk menutup celah CVE-2026-20245.

Sebagai langkah mitigasi darurat guna memutus rantai serangan eksploitasi berantai, Cisco sangat mendesak para pelanggannya untuk setidaknya memastikan sistem mereka telah melakukan upgrade ke versi firmware aman yang dirilis pada 14 Mei lalu, yang berfungsi menutup celah pembajakan autentikasi CVE-2026-20182. Dengan menutup celah tersebut, peretas akan kesulitan mendapatkan hak akses netadmin yang diperlukan untuk memicu zero-day terbaru ini.

Rentetan Serangan Siber Beruntun di Ekosistem SD-WAN Cisco

Lini produk Cisco Catalyst SD-WAN Manager terus dihantam gelombang serangan siber bertubi-tubi sepanjang paruh pertama tahun ini. Berdasarkan catatan keamanan:

  • Februari & April: Ditemukan celah kebocoran informasi CVE-2026-20133, disusul dua celah liar lain berkode CVE-2026-20128 dan CVE-2026-20122 yang dikonfirmasi oleh CISA telah disalahgunakan secara aktif di lapangan.
  • Maret: Cisco menambal celah bypass autentikasi kritis CVE-2026-20127 yang dilaporkan telah dieksploitasi secara senyap sebagai serangan zero-day sejak tahun 2023.

Berdasarkan basis data Badan Keamanan Siber dan Infrastruktur AS (CISA), hingga saat ini terdapat total 90 celah keamanan produk Cisco yang masuk dalam daftar kerentanan yang dieksploitasi secara aktif oleh kelompok kriminal siber, di mana empat di antaranya menyerang platform Cisco Catalyst SD-WAN Manager dan enam lainnya dimanfaatkan oleh kartel kejahatan pemeras ransomware.

Sumber: Cisco Security Advisory / Mandiant Intelligence

Tags
7 hours ago
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button