Cisco Tambal Celah Zero-Day Kritis pada Catalyst SD-WAN Manager yang Dieksploitasi Peretas
Raksasa teknologi jaringan Cisco resmi merilis pembaruan keamanan darurat untuk mengatasi kerentanan berbahaya pada perangkat lunak Catalyst SD-WAN Manager (yang sebelumnya dikenal sebagai SD-WAN vManage).
Celah keamanan yang diidentifikasi sebagai CVE-2026-20262 ini berstatus Zero-Day, yang berarti aktif dieksploitasi oleh aktor jahat di dunia nyata sebelum perbaikan resminya sempat dirilis. Kerentanan ini memungkinkan penyerang dengan hak akses rendah untuk menaikkan tingkat kuasanya secara ilegal hingga menjadi Root (administrator tertinggi sistem).
Modus Serangan: Manipulasi API dan Upload File Ilegal
Sebagai informasi, Catalyst SD-WAN Manager merupakan panel dasbor krusial yang diandalkan oleh para arsitek jaringan untuk mengelola hingga 6.000 perangkat SD-WAN secara terpusat.
Berdasarkan investigasi tim Product Security Incident Response Team (PSIRT) Cisco, bug ini berdampak pada seluruh jenis model implementasi sistem, mulai dari server lokal (on-premise), sistem komputasi awan Cisco SD-WAN Cloud-Pro, hingga infrastruktur khusus pemerintah (FedRAMP).
| Aspek Celah Keamanan | Rincian Teknis Eksploitasi (CVE-2026-20262) |
| Akar Masalah | Sistem kurang melakukan validasi ketat terhadap input data yang dikirimkan pengguna saat proses unggah berkas (file upload). |
| Vektor Serangan | Peretas yang telah terautentikasi (meski hanya punya akun berhak akses rendah) mengirimkan permintaan HTTP yang dimanipulasi ke ujung titik API (API endpoint) antarmuka web (Web UI). |
| Dampak Kerusakan | Penyerang dapat membuat berkas baru secara bebas atau menimpa (overwrite) file sistem operasi apa pun. Berkas tersebut kemudian dipicu untuk mengeksekusi perintah arbitrer sebagai Root. |
Daftar Versi Terdampak dan Patch Perbaikan
Cisco mendesak keras seluruh administrator jaringan perusahaan untuk segera memeriksa versi peranti lunak mereka dan melakukan migrasi ke versi First Fixed Release (rilis aman yang telah ditambal) berikut:
- Versi 20.9.9.1 ke bawah: Wajib diperbarui ke 20.9.9.2
- Versi 20.12.7.1 ke bawah: Wajib diperbarui ke 20.12.7.2
- Versi 20.15.4.4 ke bawah: Wajib diperbarui ke 20.15.4.5
- Versi 20.15.5.2 ke bawah: Wajib diperbarui ke 20.15.5.3
- Versi 20.18.3: Wajib diperbarui ke 20.18.3.1
- Versi 26.1.1.1 ke bawah: Wajib diperbarui ke 26.1.1.2
Indikator Kompromi (IOCs) untuk Deteksi Dini
Bagi tim lini pertahanan siber (Security Operations Center / SOC), Cisco merilis indikator kompromi agar admin segera melakukan audit forensik pada berkas log:
Segera periksa log server pada bagian vmanage-server, vmanage-appserver, dan serviceproxy-access. Cari jika ada aktivitas mencurigakan atau upaya tidak sah yang mencoba mengunggah berkas dengan format index.jsp atau ekstensi .war.
Rentetan Gelombang Serangan Siber terhadap Infrastruktur Cisco
Sektor perangkat keras dan manajemen jaringan (seperti router dan SD-WAN) saat ini tengah menjadi target favorit para kelompok peretas tingkat tinggi (nation-state hackers). Penambalan CVE-2026-20262 ini menyusul rentetan eksploitasi zero-day beruntun yang menghantam ekosistem Cisco Catalyst sepanjang paruh pertama tahun ini:
- Februari-April: Celah kebocoran informasi (CVE-2026-20133) serta dua celah lainnya (CVE-2026-20128 & CVE-2026-20122) dilaporkan aktif disalahgunakan di lapangan.
- Mei: Muncul serangan celah Authentication-Bypass berstatus keparahan maksimal (CVE-2026-20182) yang digunakan untuk membajak hak admin secara instan pada SD-WAN Controller.
- Awal Juni: Cisco mengeluarkan peringatan darurat terkait celah pemerasan Root lainnya (CVE-2026-20245) yang juga dieksploitasi sebelum sempat ditambal.
Sebagai catatan penutup, Badan Keamanan Siber dan Infrastruktur AS (CISA) hingga kini telah memasukkan total 91 kerentanan produk Cisco ke dalam katalog celah keamanan yang aktif dieksploitasi oleh penjahat siber di dunia nyata—di mana lima di antaranya menyerang platform Catalyst SD-WAN Manager dan enam lainnya kerap dimanfaatkan dalam serangan pemerasan komparasi ransomware.
Sumber: Cisco Product Security Advisory Update
