Browser dan Perangkat Jaringan Punya Celah yang Sudah Dieksploitasi, CISA Tambahkan 3 CVE Baru

CLB.my.id - Badan Keamanan Siber AS (CISA) menambahkan tiga kerentanan baru ke dalam katalog Known Exploited Vulnerabilities (KEV) pada 9 Juni 2026. Ketiganya mencakup celah di browser Chromium, sistem operasi jaringan Arista, dan platform manajemen jaringan Cisco. Yang mengkhawatirkan, ketiga kerentanan ini sudah terbukti dieksploitasi secara aktif di dunia nyata.

Tiga Kerentanan yang Diumumkan

CVE pertama adalah CVE-2026-11645 yang menyerang mesin rendering V8 di Google Chromium. V8 adalah komponen inti yang menjalankan JavaScript di browser Chrome, Edge, Brave, dan berbagai browser berbasis Chromium lainnya. Kerentanan berjenis out-of-bounds read and write ini memungkinkan penyerang membaca atau menulis data di luar area memori yang seharusnya mereka akses.

Dampaknya sangat luas mengingat Chromium mendominasi pangsa pasar browser global. Jutaan pengguna di Indonesia yang mengakses internet lewat Chrome atau browser berbasis Chromium lainnya berpotensi terdampak jika belum memperbarui browser mereka.

CVE kedua adalah CVE-2026-7473 yang mengancam Arista Extensible Operating System (EOS). Arista EOS adalah sistem operasi yang banyak digunakan di data center dan jaringan enterprise kelas atas. Kerentanan ini berjenis incomplete comparison with missing factors, yang pada dasarnya berarti sistem keamanan Arista tidak memeriksa semua faktor yang seharusnya diperiksa saat memvalidasi sesuatu.

CVE ketiga adalah CVE-2026-20245 yang menargetkan Cisco Catalyst SD-WAN Manager. Platform ini digunakan oleh perusahaan untuk mengelola jaringan WAN (Wide Area Network) yang tersebar di berbagai lokasi. Kerentanannya berjenis improper encoding or escaping of output, yang bisa dimanfaatkan untuk menyuntikkan kode berbahaya melalui input yang tidak terfilter dengan benar.

Mengapa CISA Bertindak?

Penambahan ke katalog KEV bukan langkah rutin biasa. CISA hanya memasukkan kerentanan ke katalog ini ketika ada bukti nyata bahwa kerentanan tersebut sudah dieksploitasi oleh penyerang di dunia nyata. Ini artinya ketiga celah ini bukan sekadar teori, melainkan sudah dipakai sebagai senjata oleh pelaku ancaman siber.

Melalui Binding Operational Directive (BOD) 22-01, CISA mewajibkan seluruh lembaga sipil federal AS untuk memperbaiki kerentanan yang masuk katalog KEV sebelum tenggat waktu yang ditentukan. Meski aturan ini secara teknis hanya mengikat untuk pemerintah federal AS, CISA sangat menyarankan semua organisasi di seluruh dunia untuk mengambil langkah serupa.

Kerentanan seperti ini menjadi serangan favorit bagi aktor siber berbahaya karena menargetkan software yang sudah sangat umum digunakan. Ketika celah ditemukan di browser populer atau platform jaringan enterprise, potensi korban bisa mencapai jutaan.

Dampak untuk Pengguna Indonesia

Bagi pengguna individu, CVE di Chromium V8 adalah yang paling relevan. Chrome dan browser berbasis Chromium secara otomatis memperbarui diri, tetapi banyak pengguna yang menunda update atau menggunakan versi lama. Memastikan browser selalu versi terbaru adalah langkah paling sederhana namun paling efektif.

Bagi perusahaan dan organisasi di Indonesia yang menggunakan infrastruktur Arista atau Cisco, prioritasnya adalah memeriksa apakah sistem mereka menjalankan versi yang terdampak dan segera menerapkan patch yang tersedia. Tim IT harus segera melakukan inventarisasi perangkat dan memastikan tidak ada sistem yang tertinggal.

Ketiga kerentanan ini juga menjadi pengingat bahwa ancaman siber tidak mengenal batas negara. Celah yang ditemukan di produk vendor global bisa dimanfaatkan oleh penyerang dari mana pun untuk menargetkan siapa pun, termasuk organisasi di Indonesia.

Apa yang Harus Dilakukan?

Langkah pertama adalah memperbarui. Untuk pengguna Chrome, buka menu Settings, lalu About Chrome, dan pastikan browser sudah di versi terbaru. Untuk pengelola jaringan yang menggunakan Arista EOS atau Cisco SD-WAN Manager, segera hubungi vendor untuk mendapatkan patch terbaru.

Kedua, aktifkan pembaruan otomatis di semua perangkat dan software yang mendukung fitur ini. Ketiga, untuk organisasi yang lebih besar, terapkan sistem manajemen kerentanan yang memantau katalog KEV CISA secara berkala dan memberi peringatan ketika ada kerentanan baru yang relevan dengan infrastruktur yang digunakan.

CISA terus memperbarui katalog KEV mereka seiring ditemukannya bukti eksploitasi baru. Menjadikan katalog ini sebagai referensi rutin dalam strategi keamanan siber adalah langkah bijak bagi setiap organisasi, baik yang berada di AS maupun di Indonesia.***