CISA Tetapkan Tenggat Waktu Darurat untuk Perbaiki Celah Keamanan Cisco dan PTC Windchill yang Dieksploitasi Peretas

Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) mengambil langkah tegas dengan memberikan tenggat waktu darurat hingga hari Minggu kemarin bagi seluruh badan federal untuk menambal celah keamanan kritis pada perangkat lunak Cisco Unified Communications Manager Server dan sistem PTC Windchill/FlexPLM yang terdeteksi sedang aktif dieksploitasi oleh kelompok peretas.

Langkah intervensi cepat ini diambil setelah kedua kerentanan tersebut resmi dimasukkan ke dalam katalog Known Exploited Vulnerabilities (KEV) milik pemerintah AS. Berdasarkan instruksi hukum Binding Operational Directive (BOD) 26-04, proses perbaikan ini berstatus sangat mendesak (urgent) dengan batas akhir penambalan sistem jatuh pada Minggu, 28 Juni 2026.

Eksploitasi Tanpa Otentikasi pada Server Komunikasi Cisco (CVE-2026-20230)

Kerentanan pertama yang menjadi sorotan utama adalah CVE-2026-20230, sebuah celah keamanan berjenis Server-Side Request Forgery (SSRF) yang bersarang di dalam sistem manajemen komunikasi korporat Cisco Unified Communications Manager Server.

Kronologi penemuan dan ancaman dari celah Cisco ini meliputi beberapa poin krusial:

• Tingkat Bahaya Kritis: Cisco menetapkan status keparahan kritis (critical severity) pada celah ini sejak merilis patch pertamanya pada 3 Juni lalu. Peretas dapat mengeksploitasi celah ini secara jarak jauh (remote) tanpa perlu melakukan proses login/otentikasi sama sekali (unauthenticated), cukup dengan mengirimkan paket data HTTP yang dimodifikasi secara khusus (specially crafted HTTP requests).
• Riwayat Deteksi: Saat pertama kali diumumkan, Cisco mengeklaim baru menemukan kode bukti konsep (Proof-of-Concept / PoC) eksploitasi di forum publik namun belum melihat adanya serangan nyata.
• Serangan Aktif Ditemukan: Situasi berubah drastis ketika perusahaan rintisan deteksi ancaman siber, Defused, memergoki aksi para peretas yang secara aktif memanfaatkan CVE-2026-20230 untuk menyisipkan dan menulis file teks ilegal (arbitrary text files) ke dalam titik akhir (endpoints) server korban. Hingga kini, identitas maupun motif dari aktor ancaman yang menunggangi celah Cisco ini masih belum berhasil diidentifikasi.

Ancaman Eksekusi Kode Jarak Jauh pada Sistem Manufaktur PTC (CVE-2026-12569)

Selain Cisco, CISA juga memasukkan kode CVE-2026-12569 ke dalam katalog KEV. Celah ini merupakan cacat validasi input yang tidak tepat (improper input validation flaw) dan menyerang perangkat lunak manajemen siklus hidup produk (Product Lifecycle Management / PLM) buatan PTC, yaitu PTC Windchill dan FlexPLM.

Kedua aplikasi ini merupakan tulang punggung digital yang sangat vital karena digunakan secara masif oleh sektor industri manufaktur, teknik, retail, alas kaki, pakaian, hingga produk konsumen untuk mengelola rahasia desain cetak biru produk mereka.

Karakteristik teknis dari ancaman celah PTC ini meliputi:

• Remote Code Execution (RCE): Kerentanan ini masuk dalam kasta tertinggi ancaman siber karena memungkinkan peretas mengeksekusi perintah kode berbahaya dari jarak jauh melalui metode deserialization of untrusted data.
• Dampak Varian yang Luas: Pihak vendor (PTC) yang pertama kali mengungkap isu ini pada 18 Juni lalu memperingatkan bahwa celah berbahaya ini berdampak pada cakupan versi aplikasi yang sangat luas, mulai dari seluruh versi lawas hingga versi 11.0, serta beberapa sub-versi pada lini rilis 11.1, 11.2, 12.0, 12.1, hingga versi modern 13.0.

Instruksi Tegas CISA bagi Sektor Publik dan Swasta

Mengingat tenggat waktu darurat per tanggal 28 Juni yang ditetapkan oleh BOD 26-04 kini telah terlewati, CISA mendesak seluruh administrator jaringan, baik di lingkungan instansi pemerintahan maupun organisasi swasta yang menggunakan infrastruktur terdampak, untuk segera melakukan audit internal.

Apabila proses instalasi patch keamanan resmi dari Cisco dan PTC belum sempat dieksekusi, para pengelola TI diwajibkan untuk menerapkan metode mitigasi darurat yang direkomendasikan oleh vendor, atau menghentikan operasional perangkat lunak tersebut untuk sementara waktu demi mencegah jaringan internal perusahaan lumpuh akibat penyusupan ransomware maupun spionase siber.