CISA Peringatkan Celah Ivanti Sentry CVSS 10.0, Peretas Bisa Kuasai Server dari Jauh Tanpa Login

CLB.my.id - Badan keamanan siber Amerika Serikat CISA pada 11 Juni 2026 menambahkan satu kerentanan baru ke dalam Known Exploited Vulnerabilities (KEV) Catalog mereka, dan kali ini tingkat keparahannya mencapai skor sempurna: CVSS 10.0. Kerentanan tersebut adalah CVE-2026-10520, celah injeksi perintah sistem operasi (OS Command Injection) yang mempengaruhi Ivanti Sentry, sebuah gateway keamanan enterprise yang banyak dipakai organisasi besar untuk mengelola dan mengenkripsi lalu lintas data antara perangkat mobile dan sistem backend.

Yang membuat kerentanan ini sangat berbahaya adalah kemudahannya dieksploitasi. Berdasarkan analisis teknis yang dipublikasikan oleh watchTowr Labs pada 10 Juni 2026, seorang peretas dari jarak jauh tanpa perlu login atau autentikasi apa pun bisa menjalankan perintah sistem operasi secara langsung dengan hak akses root. Artinya, peretas bisa mengambil alih kendali penuh atas server yang menjalankan Ivanti Sentry hanya dengan mengirim satu permintaan HTTP POST ke endpoint yang tidak terproteksi.

Celah ini berada di dalam kelas ConfigServiceController pada aplikasi web Ivanti Sentry. Endpoint /mics/api/v2/sentry/mics-config/handleMessage menerima parameter “message” dari pengguna tanpa validasi yang memadai. Parameter tersebut kemudian di-parse sebagai perintah konfigurasi internal, yang pada akhirnya menghasilkan eksekusi perintah sistem operasi secara arbitrer dengan hak root. WatchTowr bahkan telah menerbitkan proof-of-concept (PoC) publik yang menunjukkan cara eksploitasi, membuat potensi serangan di dunia nyata semakin tinggi.

CVE-2026-10520 bukan satu-satunya masalah. Bersamaan dengan itu, Ivanti juga mengungkap CVE-2026-10523, kerentanan bypass autentikasi dengan skor CVSS 9.9. Celah ini memungkinkan peretas dari jarak jauh membuat akun administrasi semau mereka dan mendapatkan akses admin penuh ke sistem. Kedua kerentanan ini saling melengkapi: satu untuk menguasai server, satu lagi untuk membuat backdoor administratif.

Menurut laporan Rapid7 yang dipublikasikan bersamaan dengan advisory Ivanti, perangkat yang terdampak mencakup Ivanti Sentry versi 10.7.0 ke bawah, 10.6.1 ke bawah, dan 10.5.1 ke bawah. Ivanti telah merilis patch perbaikan dalam versi 10.7.1, 10.6.2, dan 10.5.2. Namun CISA memberikan tenggat waktu sangat singkat: hanya tiga hari, hingga 14 Juni 2026, bagi lembaga federal untuk menerapkan perbaikan sesuai arahan BOD 26-04.

Apa dampaknya bagi organisasi di Indonesia? Ivanti Sentry dipakai oleh banyak perusahaan dan institusi di seluruh dunia untuk mengamankan komunikasi antara perangkat mobile dan sistem internal. Jika organisasi menggunakan Ivanti Sentry atau produk MobileIron Sentry sebelumnya, segera periksa versi yang digunakan dan terapkan patch terbaru. Jika patch belum bisa diterapkan segera, pastikan endpoint yang terdampak tidak terekspos ke internet publik.

Kecepatan CISA menambahkan CVE-2026-10520 ke KEV Catalog, hanya dua hari setelah advisory Ivanti diterbitkan, menunjukkan betapa seriusnya ancaman ini. Dengan PoC yang sudah beredar publik dan skor CVSS yang sempurna, para administrator sistem tidak punya banyak waktu untuk bertindak.

Judul CMS: CISA Peringatkan Celah Ivanti Sentry CVSS 10.0, Peretas Bisa Kuasai Server dari Jauh Tanpa Login Meta Description: CVE-2026-10520 di Ivanti Sentry CVSS 10.0. Peretas bisa kuasai server dari jauh tanpa login. Patch sudah tersedia. Rubrik: Security Tag: Security, CISA, Ivanti, CVE, Enterprise Source: (kosongkan - sumber CISA, Rapid7, NVD, watchTowr) Gambar: /tmp/clb_cisa_ivanti_sentry.jpg (generated editorial) QC Notes: PASS. CVE-2026-10520 from CISA KEV catalog and NVD. CVSS score from NVD. Technical analysis from Rapid7 and watchTowr. No exploit instructions beyond what’s publicly available in security advisories. Mitigation advice included.