Lubang Tikus di Jantung Jaringan Cisco SD-WAN: Ancaman Root yang Mengintai

Serangan "Diam-Diam" Cisco SD-WAN Manager Kian Mengkhawatirkan

Dunia siber kembali digemparkan dengan peringatan dari Cisco mengenai kerentanan tingkat tinggi yang dieksploitasi secara aktif di dalam Cisco Catalyst SD-WAN Manager. Perangkat lunak manajemen jaringan enterprise yang krusial ini dilaporkan telah berulang kali menjadi sasaran empuk para peretas.

Celah keamanan yang tersembunyi di antarmuka baris perintah (Command-Line Interface/CLI) ini memungkinkan penyerang yang sudah memiliki akses awal untuk meningkatkan hak akses mereka hingga setara dengan root. Dengan kata lain, kendali penuh atas seluruh sistem jaringan menjadi milik mereka.

CVE-2026-20245: Pintu Masuk Menuju Dominasi Sistem

Kerentanan yang diberi kode CVE-2026-20245 ini memiliki tingkat keparahan 7.8 (tinggi) berdasarkan skala CVSS. Meskipun bukan kategori "kritis", risiko yang ditimbulkannya tetap sangat serius.

Alasan peringkatnya tidak mencapai "kritis" adalah karena penyerang memerlukan akses lokal dan hak akses netadmin untuk mengeksploitasinya. Namun, jalan menuju hak akses ini seringkali terbuka melalui kredensial yang dicuri atau dengan memanfaatkan celah authentication bypass sebelumnya, seperti CVE-2026-20245 itu sendiri atau CVE-2026-20127.

Jejak Cyberespionage dan Peran Penting Google Mandiant

Celah authentication bypass yang lebih lama diketahui telah dieksploitasi oleh aktor ancaman siber yang dikenal sebagai UAT-8616 oleh Cisco Talos, yang dicurigai sebagai pelaku cyberespionage.

Belum jelas apakah kelompok yang sama berada di balik eksploitasi kerentanan baru ini. Namun, penemuan kerentanan ini dilaporkan kepada Cisco oleh divisi Google Mandiant, sebuah unit yang sangat terspesialisasi dalam respons insiden keamanan.

Bagaimana Penyerang Melakukannya?

Menurut Cisco, kerentanan ini muncul akibat validasi input pengguna yang tidak memadai. "Seorang penyerang dapat mengeksploitasi kerentanan ini dengan mengunggah file yang dibuat secara khusus ke sistem yang terpengaruh," jelas Cisco dalam peringatannya.

Eksploitasi yang berhasil akan memungkinkan penyerang untuk melakukan serangan command injection dan akhirnya mendapatkan hak akses sebagai pengguna root, membuka jalan untuk mengambil alih sistem sepenuhnya.

Langkah Mitigasi: Bertindak Cepat Sebelum Terlambat

Saat ini, Cisco belum merilis patch definitif. Namun, perusahaan sangat merekomendasikan pelanggan untuk segera melakukan pembaruan ke versi terbaru yang tersedia. Ini penting untuk memastikan bahwa celah eksploitasi authentication bypass yang lama tidak lagi berfungsi.

Selain itu, pelanggan diminta untuk memeriksa konfigurasi perangkat edge mereka. Cisco telah mengamati kasus di mana eksploitasi celah ini menyebabkan perubahan konfigurasi yang tidak diinginkan.

Persiapan Sebelum Upgrade

Sebelum melakukan pembaruan pada implementasi SD-WAN Anda, sangat disarankan untuk menyimpan semua file log yang relevan. Jangan lupa untuk menjalankan perintah admin-tech guna mengumpulkan file admin-tech dari setiap komponen kontrol.

Cisco telah menyediakan indikator kompromi (Indicators of Compromise/IoC) yang seharusnya terlihat pada file scripts.log di direktori /var/log/. Namun, membedakan antara panggilan perintah yang sah dan yang berbahaya dalam log bisa jadi sulit.

Kapan Harus Menghubungi Tim Dukungan Cisco?

Jika indikator kompromi terdeteksi dalam log Anda dan sistem dikonfirmasi telah terkompromi, sekadar menerapkan pembaruan perangkat lunak saja tidak akan menyelesaikan masalah. Dalam situasi seperti ini, Cisco menginstruksikan pelanggan untuk segera menghubungi Technical Assistance Center (TAC) mereka.

TAC akan memberikan langkah-langkah remediasi spesifik untuk membantu mengamankan sistem Anda secara menyeluruh. Keamanan jaringan adalah prioritas, dan respons cepat serta akurat adalah kunci dalam menghadapi ancaman yang terus berkembang ini.

Bagikan Artikel Ini

Facebook Twitter WhatsApp Pinterest