Security

CISA Rilis Peringatan Darurat: Celah Keamanan SolarWinds Serv-U Eksploitasi Aktif untuk Melumpuhkan Server

1 minute ago
3 minutes read

Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) mengeluarkan peringatan darurat resmi pada hari Jumat, menyatakan bahwa para peretas saat ini tengah aktif mengeksploitasi celah keamanan berisiko tinggi (high-severity flaw) pada perangkat lunak SolarWinds Serv-U. Eksploitasi ini dilakukan secara agresif dengan tujuan untuk melumpuhkan atau membuat server korban mengalami mati total (crash).

Serv-U merupakan solusi aplikasi transfer berkas (file transfer software) buatan SolarWinds yang berjalan di sistem operasi Windows maupun Linux. Perangkat lunak ini lazim digunakan oleh korporasi besar untuk kebutuhan Managed File Transfer (MFT) dan server FTP guna mempertukarkan dokumen sensitif secara aman melalui protokol HTTP/HTTPS, FTP, FTPS, dan SFTP.

Detail Kerentanan CVE-2026-28318: Konsumsi Sumber Daya Tanpa Kendali

Celah keamanan yang sedang menjadi sasaran empuk para peretas ini dilacak dengan kode CVE-2026-28318. SolarWinds menjelaskan bahwa akar masalah dari kerentanan ini bersumber dari kelemahan manajemen konsumsi sumber daya sistem yang tidak terkendali (uncontrolled resource consumption weakness).

Mekanisme Serangan Denial-of-Service (DoS):

  • Paket Data Kustom Pendongkrak Crash: Penyerang jarak jauh (remote attackers) dapat mengirimkan permintaan manipulasi data berjenis POST request yang dirancang secara khusus untuk menyerang server.
  • Tanpa Autentikasi: Serangan DoS ini bersifat sangat berbahaya karena dapat dilancarkan secara instan tanpa memerlukan proses masuk/autentikasi hak akses (unauthenticated) dan memiliki tingkat kompleksitas serangan yang rendah (low-complexity), serta sama sekali tidak membutuhkan interaksi dari pengguna legal.
  • Metode Kompresi Deflate: Penyerang memicu kelumpuhan server Serv-U dengan menyisipkan parameter perintah Content-Encoding: deflate pada paket data POST tersebut.

Langkah Mitigasi Darurat dan Pembaruan Patch

Menanggapi eskalasi serangan yang meluas di internet, SolarWinds bergerak cepat dengan merilis pembaruan keamanan darurat berupa Serv-U versi 15.5.4 Hotfix 1.

Bagi para administrator jaringan dan tim TI korporat yang belum bisa melakukan instalasi patch secara instan, SolarWinds menyarankan dua langkah mitigasi darurat guna membentengi server:

  1. Batasi Akses IP: Membatasi akses masuk ke server Serv-U hanya dari daftar alamat IP jaringan yang dikenal dan tepercaya (known addresses).
  2. Blokir POST Request Spesifik: Melakukan pemblokiran terhadap setiap lalu lintas data POST request yang mengandung parameter “content-encoding”. SolarWinds memastikan bahwa fungsionalitas kompresi tersebut sejatinya tidak dibutuhkan dalam operasional normal layanan Serv-U.

Ribuan Server Terekspos Online, CISA Tetapkan Batas Waktu Pembersihan

Berdasarkan data pantauan dari platform intelijen internet global, risiko paparan celah keamanan ini terhitung sangat masif di seluruh dunia:

  • Mesin Shodan saat ini mendeteksi ada lebih dari 12.000 server Serv-U yang terekspos secara publik di jaringan internet global.
  • The Shadowserver Foundation mencatat ada sekitar 3.100 server yang terbuka secara daring. Hingga saat ini, belum ada data valid mengenai berapa banyak dari total server tersebut yang sudah menginstalasi pembaruan hotfix.

Melihat tingginya risiko serangan, CISA langsung memasukkan CVE-2026-28318 ke dalam katalog Known Exploited Vulnerabilities (KEV). Berdasarkan mandat perintah direktif operasional Binding Operational Directive (BOD) 22-01, CISA menginstruksikan seluruh lembaga eksekutif sipil federal AS untuk menambal server mereka paling lambat 19 Juni.

Meskipun instruksi pembersihan ini bersifat wajib bagi instansi pemerintah AS, CISA mendesak sektor swasta dan seluruh arsitek pertahanan jaringan global untuk segera mengamankan infrastruktur mereka.

Jejak Kelam SolarWinds Serv-U Sebagai Target Favorit Peretas

Ini bukan pertama kalinya lini produk Serv-U dari SolarWinds menjadi sasaran empuk kelompok kejahatan siber maupun peretas yang disokong oleh negara (state-backed hackers) untuk mencuri data internal perusahaan.

Dalam catatan sejarah siber beberapa tahun terakhir, kompromi Serv-U kerap berujung fatal:

  • Tahun 2021 (Geng Ransomware Clop & Peretas Tiongkok): Geng ransomware terkenal, Clop, mengeksploitasi celah Remote Code Execution (CVE-2021-35211) untuk membobol jaringan internal korporasi besar. Di saat bersamaan, kelompok peretas asal Tiongkok yang dilacak sebagai DEV-0322 memanfaatkan celah yang sama untuk melancarkan serangan zero-day.
  • Juni 2024 (Eksploitasi Path-Traversal): Lembaga riset siber GreyNoise dan Rapid7 melaporkan adanya gelombang serangan aktif yang memanfaatkan celah keamanan path-traversal (CVE-2024-28995) pada Serv-U.

Secara akumulatif, CISA tercatat telah memasukkan 11 daftar celah keamanan dari berbagai varian produk SolarWinds ke dalam katalog kerentanan yang aktif disalahgunakan dalam operasi peretasan global.

Sumber: Penasihat Keamanan Siber CISA / SolarWinds Security Advisory Hotfix 1

Tags
1 minute ago
3 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button