Bahaya Serangan Otomatis, CISA Perintahkan Instansi Federal Tambal Celah Kritis Plugin Joomla Sebelum Jumat

Badan Keamanan Siber dan Infrastruktur Amerika Serikat, CISA, telah mengeluarkan perintah darurat kepada seluruh lembaga federal untuk segera menambal (patch) celah keamanan dengan tingkat keparahan maksimal (maximum-severity) pada plugin populer CMS Joomla, yaitu Widget Factory Joomla Content Editor (JCE). Perintah ini dikeluarkan setelah terdeteksi adanya kampanye serangan siber yang memanfaatkan celah tersebut secara masif di jagat maya.

Kerentanan yang kini dilacak sebagai CVE-2026-48907 ini dikategorikan sangat berbahaya karena memiliki kompleksitas serangan yang rendah. Penyerang dapat mengeksekusi kode berbahaya tanpa memerlukan hak akses khusus (unauthenticated) pada situs web berbasis Joomla yang memasang plugin editor teks visual (WYSIWYG) JCE tersebut.

Mekanisme Eksekusi Kode PHP via Profil Editor Palsu

CISA mengeluarkan peringatan resmi mengenai bagaimana para aktor peretas mengeksploitasi kelemahan manajemen hak akses (improper access control) pada plugin Widget Factory JCE:

• Injeksi Berkas Malicious: Penyerang yang tidak terautentikasi dapat membuat profil editor baru secara ilegal di dalam sistem. Melalui profil palsu ini, mereka dapat mengunggah (upload) dan mengeksekusi berkas kode pemrograman PHP berbahaya ke dalam server web.
• Akses Kontrol Penuh: Begitu berkas PHP berhasil dieksekusi, peretas dapat memperoleh hak akses kendali jarak jauh (Remote Code Execution – RCE), yang berpotensi melumpuhkan situs atau mencuri basis data sensitif milik instansi pemerintah.

Peringatan Resmi dari Tim Keamanan JCE: “Jika Anda belum melakukan pembaruan, lakukan segera saat ini juga. Kerentanan ini sedang dieksploitasi secara aktif, kode eksploitasi yang berfungsi sudah tersebar luas di publik, dan serangannya berjalan secara otomatis. Jadi, situs web yang tidak membuka pendaftaran publik sekalipun tetap tidak aman dari target pemindaian bot peretas.”

[ Bot Peretas Memindai Otomatis ] ──► Memanfaatkan Celah CVE-2026-48907 JCE Plugin
                                                    │
                                                    ▼
[ Membuat Profil Editor Ilegal ]  ──► Berhasil Lolos Tanpa Autentikasi Login
                                                    │
                                                    ▼
[ Mengunggah Dokumen Skrip PHP ]  ──► Mengeksekusi Malware / Backdoor di Server
                                                    │
                                                    ▼
[ Kendali Situs Web Bobol Total] ──► Peretas Meraih Akses Kendali Jarak Jauh (RCE)

Pihak pengembang JCE sebenarnya telah merilis perbaikan darurat pada awal Juni ini melalui peluncuran JCE Pro versi 2.9.99.6. Mereka mengingatkan bahwa memperbarui sistem hanya akan menutup pintu masuk bagi serangan baru, namun tidak akan membersihkan situs yang sudah terlanjur disusupi sebelum proses pembaruan dilakukan.

Langkah Penanganan untuk Situs yang Terlanjur Bobol

Bagi pengelola situs web atau tim IT yang mendapati indikasi bahwa sistem mereka telah tersusupi sebelum sempat melakukan pembaruan, tim keamanan JCE merekomendasikan lima langkah pembersihan berikut:

1. Amankan Bukti Digital: Lakukan pencadangan (backup) pada profil editor asing atau mencurigakan yang dibuat oleh peretas untuk kebutuhan investigasi forensik lebih lanjut.
2. Perbarui Plugin: Lakukan pembaruan paksa plugin JCE ke versi 2.9.99.6 atau versi yang lebih tinggi.
3. Sapu Bersih Akun Palsu: Hapus seluruh profil editor ilegal yang dibuat oleh penyerang dari sistem manajemen pengguna.
4. Ganti Massal Kata Sandi: Ubah seluruh kredensial kata sandi penting, mencakup akun Administrator utama, basis data (database) situs web, hingga akun panel penyedia layanan hos (hosting account).
5. Pemindaian Sisi Server: Jalankan pemindaian malware menyeluruh di sisi server (server-side malware scan) untuk memastikan tidak ada alat peretasan (backdoor/implants) sekunder yang ditinggalkan oleh penyerang di direktori dalam.

Perintah Tegas CISA Berdasarkan Direktif BOD 26-04

CISA telah memasukkan CVE-2026-48907 ke dalam katalog Kerentanan Yang Diketahui Telah Eksploitasi (Known Exploited Vulnerabilities Catalog). Berdasarkan aturan Binding Operational Directive (BOD) 26-04, seluruh lembaga sipil eksekutif federal (FCEB) diwajibkan untuk mengamankan jaringan mereka paling lambat hari Jumat (19 Juni 2026).

Kebijakan BOD 26-04 yang baru disahkan mewajibkan instansi pemerintah Amerika Serikat untuk memprioritaskan penambalan celah keamanan berdasarkan metrik risiko eksploitasi di dunia nyata. Komponen penilaian utamanya meliputi keterpaparan aset di jaringan internet publik, potensi otomatisasi serangan skala besar oleh botnet, serta tingkat keparahan dampak kendali yang bisa diraih oleh penyerang. Jika proses mitigasi atau pembaruan tidak tersedia pada layanan awan (cloud) mereka, CISA memerintahkan instansi untuk segera menghentikan penggunaan produk tersebut demi menjaga integritas data negara.

Sumber: U.S. Cybersecurity and Infrastructure Security Agency (CISA) Emergency Advisory