Security

CISA Minta Administrator Segera Patch SharePoint Server yang Sedang Diserang Secara Aktif

Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) mengeluarkan peringatan kepada administrator sistem agar segera memperbarui Microsoft SharePoint Server setelah ditemukan tiga kerentanan yang saat ini dieksploitasi secara aktif oleh pelaku ancaman.

Ketiga celah keamanan tersebut memungkinkan penyerang melewati autentikasi, menjalankan kode dari jarak jauh (Remote Code Execution/RCE), hingga mempertahankan akses untuk menyebarkan malware pada server yang berhasil disusupi.

Tiga Kerentanan Sedang Dieksploitasi

Kerentanan yang menjadi perhatian CISA meliputi:

  • CVE-2026-32201
  • CVE-2026-45659
  • CVE-2026-56164

Ketiganya memengaruhi seluruh versi Microsoft SharePoint Server yang masih didukung, termasuk SharePoint Server Subscription Edition, yaitu versi on-premises terbaru yang menggunakan model pembaruan berkelanjutan (continuous update).

Menurut CISA, pelaku memanfaatkan kombinasi kerentanan tersebut untuk:

  • Melewati proses autentikasi.
  • Mendapatkan kemampuan Remote Code Execution (RCE).
  • Melakukan aktivitas pasca-kompromi (post-exploitation).

Digunakan untuk Menyebarkan Malware

Setelah berhasil memperoleh akses, pelaku diketahui melakukan berbagai aktivitas lanjutan, antara lain:

  • Mencuri Internet Information Services (IIS) Machine Keys.
  • Mempertahankan akses (persistence) pada server.
  • Menyebarkan malware ke sistem yang telah dikompromikan.

Kemampuan tersebut membuat penyerang dapat mempertahankan kendali atas server dalam jangka waktu lama apabila insiden tidak segera terdeteksi.

Dua Kerentanan Lain Juga Dianggap Berisiko

Selain tiga kerentanan yang telah dieksploitasi, CISA juga menyoroti dua celah keamanan lain yang baru ditambal Microsoft pada Patch Tuesday Juli 2026, yaitu:

  • CVE-2026-55040
  • CVE-2026-58644

Meski belum diketahui dieksploitasi di dunia nyata, Microsoft menilai keduanya memiliki potensi tinggi untuk segera menjadi sasaran serangan sehingga administrator tetap disarankan memasang pembaruan secepat mungkin.

Ribuan Server Masih Terpapar Internet

Berdasarkan pemantauan Shadowserver Foundation, saat ini terdapat hampir 10.000 server Microsoft SharePoint yang masih dapat diakses langsung melalui internet.

Dari jumlah tersebut, lebih dari 800 server diketahui belum memasang patch terhadap:

  • CVE-2026-32201
  • CVE-2026-45659

Sementara itu, belum diketahui berapa banyak server yang masih rentan terhadap CVE-2026-56164 maupun berapa di antaranya yang merupakan sistem honeypot.

Rekomendasi Mitigasi dari CISA

CISA meminta tim keamanan segera melakukan sejumlah langkah mitigasi, antara lain:

  • Memasang seluruh patch terbaru dari Microsoft.
  • Memastikan pembaruan berhasil diterapkan.
  • Mempercepat siklus patch management.
  • Mengaktifkan Windows Antimalware Scan Interface (AMSI) pada aplikasi web SharePoint.
  • Menggunakan Microsoft Defender Antivirus (MDAV) untuk mendeteksi indikasi kompromi.

Selain itu, CISA juga merekomendasikan:

  • Melakukan investigasi terhadap artefak intrusi sebelum melakukan rotasi IIS Machine Keys.
  • Menyiapkan logging khusus untuk memantau aktivitas mencurigakan.
  • Menghindari paparan langsung SharePoint Server ke internet apabila tidak diperlukan.
  • Mengikuti panduan security hardening resmi dari Microsoft.

Untuk lingkungan yang memang harus diakses dari internet, CISA menyarankan agar SharePoint ditempatkan di belakang Layer 7 Reverse Proxy atau solusi keamanan tingkat aplikasi lainnya.

Administrator juga dianjurkan membatasi akses ke SharePoint Central Administration dari jaringan eksternal serta memastikan komunikasi antar server farm dan database hanya diperbolehkan pada sistem yang memang diperlukan.

Masuk Daftar KEV CISA

Ketiga kerentanan yang sedang dieksploitasi telah dimasukkan ke dalam katalog Known Exploited Vulnerabilities (KEV) milik CISA pada tanggal:

  • 14 April 2026 – CVE-2026-32201
  • 1 Juli 2026 – CVE-2026-45659
  • 14 Juli 2026 – CVE-2026-56164

Seluruh instansi pemerintah federal Amerika Serikat diwajibkan mengamankan server SharePoint yang terdampak paling lambat 17 Juli 2026 sesuai ketentuan Binding Operational Directive (BOD) 26-04. Jika patch tidak dapat diterapkan, sistem diwajibkan dihentikan sementara dari operasional.

Sejak November 2021, CISA telah memasukkan 11 kerentanan Microsoft SharePoint ke dalam daftar KEV, dengan 7 di antaranya diketahui pernah dimanfaatkan dalam serangan ransomware. Hal ini menunjukkan bahwa SharePoint masih menjadi salah satu target utama kelompok ancaman siber yang menyasar organisasi dan perusahaan di seluruh dunia.

Sumber: CISA

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button