CISA Perintahkan Agen Federal Tambal Celah Keamanan Kritis Ivanti Sentry dalam 3 Hari
Badan Keamanan Siber dan Infrastruktur AS (CISA) resmi mengeluarkan perintah darurat kepada seluruh agen pemerintah federal untuk menambal (patching) celah keamanan kritis pada perangkat Ivanti Sentry paling lambat hari Minggu ini. Langkah agresif ini diambil menyusul laporan bahwa kerentanan tersebut kini tengah dieksploitasi secara aktif oleh para peretas di dunia nyata.
Perintah kilat ini merupakan implementasi perdana dari direktif operasional mengikat yang baru saja diterbitkan, yaitu Binding Operational Directive (BOD) 26-04. Berdasarkan aturan baru tersebut, kementerian dan lembaga sipil federal (FCEB) wajib menambal celah keamanan berisiko tinggi dalam kurun waktu tiga hari jika kerentanan tersebut memenuhi kriteria ancaman mendesak.
Eksploitasi Root RCE Instan pada CVE-2026-10520
Celah keamanan yang dimaksud dilacak sebagai CVE-2026-10520 dan mengantongi skor keparahan tertinggi, yaitu CVSS 10.0 (Kritis). Kerentanan ini bersumber dari kelemahan injeksi perintah sistem operasi (OS command injection) pada perangkat gerbang keamanan (security gateway appliance) Ivanti Sentry (yang sebelumnya dikenal sebagai MobileIron Sentry).
| Atribut Kerentanan | Karakteristik Teknis & Kompromi |
| Kode Pelacakan | CVE-2026-10520 |
| Skor Keparahan | 10.0 / 10.0 (Tingkat Maksimal / Kritis) |
| Titik Akhir Rentan | Fungsi ConfigServiceController melalui permintaan POST ke unauthenticated endpoint /mics/api/v2/sentry/mics-config/handleMessage. |
| Mekanisme Serangan | Peretas memanfaatkan API internal yang terbuka tanpa otentikasi untuk mengirimkan perintah konfigurasi MICS buatan yang langsung dieksekusi oleh sistem backend. |
| Dampak Sukses | Eksekusi Kode Jarak Jauh (RCE) dengan hak akses Root. Peretas mendapat kendali penuh atas sistem, konfigurasi, token sesi, serta kredensial yang terintegrasi. |
Awalnya, saat merilis pembaruan pada hari Selasa, pihak Ivanti mengeklaim belum menemukan adanya bukti eksploitasi di target konsumen. Namun, hanya berselang satu hari, lembaga pemantau keamanan internet Shadowserver mendeteksi gelombang serangan massal. Para peretas memanfaatkan kode demonstrasi eksploitasi (Proof of Concept / PoC) yang bocor ke publik untuk menanamkan pintu belakang (backdoor) pada gerbang-gerbang Ivanti Sentry yang terekspos di internet.
Peringatan Keras CISA dan Latar Belakang BOD 26-04
Menyusul temuan valid di lapangan, CISA langsung memasukkan CVE-2026-10520 ke dalam katalog Known Exploited Vulnerabilities (KEV) mereka pada hari Kamis, sekaligus mengaktifkan alarm darurat BOD 26-04.
“Kerentanan jenis ini merupakan vektor serangan yang sering digunakan oleh aktor siber jahat dan menimbulkan risiko signifikan bagi kelangsungan sistem federal,” tegas CISA dalam peringatan resminya. “Ikuti panduan BOD 26-04 yang berlaku untuk layanan komputasi awan, atau hentikan penggunaan produk jika mitigasi tidak tersedia.”
Sebagai informasi, BOD 26-04 baru saja disahkan untuk menggantikan direktif lama (BOD 19-02 dan BOD 22-01). Regulasi baru ini memaksa pemangkasan lini masa penambalan menjadi hanya 3 hari apabila suatu celah keamanan:
- Terhubung dan terekspos langsung ke internet publik.
- Telah masuk ke dalam katalog KEV CISA (terbukti aktif diserang).
- Proses eksploitasinya bisa diotomatisasi untuk serangan skala masif.
- Memberikan kontrol penuh atau sebagian kepada penyerang atas sistem target.
Meskipun CVE-2026-10520 merupakan kasus pertama yang secara formal dijatuhi hukuman penalti lini masa di bawah payung hukum BOD 26-04, CISA tercatat sempat mengeluarkan perintah darurat 3 hari serupa dalam beberapa pekan terakhir untuk kasus zero-day VPN Check Point, celah keamanan peladen Oracle WebLogic, serta kerentanan pada plugin cPanel.
Versi Terdampak dan Langkah Penanganan
Ivanti Sentry bertindak sebagai pengontrol dan pengisolasi lalu lintas data sensitif antara perangkat seluler karyawan dengan server internal perusahaan. Kompromi pada perangkat ini dapat berujung pada kebocoran kredensial direktori perusahaan secara massal.
Berikut adalah daftar versi Ivanti Sentry yang terdampak serta versi pembaruan aman yang wajib segera dipasang:
- Versi Rentan: Ivanti Sentry versi 10.5.1, 10.6.1, 10.7.0, dan versi terdahulu yang sudah tidak didukung.
- Versi Perbaikan (Aman): Segera tingkatkan ke versi 10.5.2, 10.6.2, atau 10.7.1 (atau versi yang lebih baru).
Bagi organisasi non-pemerintah atau swasta yang menggunakan infrastruktur ini, Shadowserver memperingatkan bahwa jika sistem Anda terhubung langsung ke internet dan belum dipasang patch hingga hari ini, kemungkinan besar sistem Anda sudah berhasil disusupi.
Para administrator TI diimbau untuk segera membatasi akses antarmuka manajemen Sentry dari internet publik, mengaktifkan fitur mTLS (mutual TLS) dengan EPMM, serta memeriksa log web untuk mendeteksi adanya aktivitas mencurigakan atau lonjakan respons eror 4xx/5xx pada folder transaksi penanganan pesan konfigurasi.
Sumber: Cybersecurity and Infrastructure Security Agency (CISA) Alerts & Shadowserver Foundation Threat Report
