CISA Peringatkan Celah SolarWinds Serv-U yang Sedang Aktif Dieksploitasi, Patch Wajib Sebelum 19 Juni

CLB.my.id - Badan Keamanan Siber AS (CISA) menambahkan kerentanan kritis pada perangkat lunak transfer file SolarWinds Serv-U ke daftar Known Exploited Vulnerabilities (KEV) setelah menemukan bukti bahwa celah tersebut sedang aktif dieksploitasi di dunia nyata. Kerentanan yang dilacak dengan kode CVE-2026-28318 ini memungkinkan penyerang tanpa autentikasi apapun untuk membuat layanan Serv-U crash dari jarak jauh.

Serangan ini bekerja dengan mengirimkan permintaan HTTP POST khusus yang menggunakan header Content-Encoding: deflate. Header tersebut memaksa layanan Serv-U mengonsumsi sumber daya secara berlebihan hingga akhirnya berhenti beroperasi. Yang membuat kerentanan ini sangat berbahaya adalah penyerang tidak memerlukan kredensial apapun dan bisa menjalankan serangan sepenuhnya dari jaringan tanpa interaksi pengguna.

Batas Waktu Ketat untuk Instansi Federal

CISA memasukkan CVE-2026-28318 ke katalog KEV pada 5 Juni 2026 dan menetapkan batas waktu perbaikan 19 Juni 2026 untuk seluruh agensi Federal Civilian Executive Branch (FCEB). Di bawah Binding Operational Directive (BOD) 22-01, agensi federal wajib memperbaiki kerentanan yang masuk katalog KEV dalam tenggat waktu yang ditetapkan.

Namun, CISA tidak hanya mengimbau instansi pemerintah. Badan ini mendesak semua organisasi, baik sektor publik maupun swasta, untuk memperlakukan temuan ini dengan urgensi tinggi mengingat eksploitasi aktif yang sudah berlangsung. Belum diketahui apakah kerentanan ini sudah dimanfaatkan dalam kampanye ransomware, tetapi pola serangan yang memanfaatkan kelemahan perangkat transfer file untuk akses awal sudah menjadi tren yang meningkat dalam beberapa tahun terakhir.

SolarWinds Rilis Hotfix

SolarWinds telah merilis perbaikan melalui Serv-U versi 15.5.4 Hotfix 1. Organisasi yang menjalankan versi Serv-U sebelumnya dianggap rentan dan harus menerapkan patch segera. Detail teknis lengkap tersedia melalui advisory di SolarWinds Trust Center dan entri NVD dari NIST.

Bagi organisasi yang belum bisa melakukan patching segera, beberapa langkah mitigasi sementara bisa diterapkan. Membatasi paparan layanan Serv-U dengan menempatkannya di belakang firewall atau VPN adalah langkah pertama. Tim keamanan juga disarankan memantau log untuk permintaan POST anomali yang mengandung header Content-Encoding: deflate. Jika memungkinkan, menonaktifkan atau mendekomisioning instance Serv-U sementara waktu bisa menjadi opsi terakhir.

Konteks Lebih Luas

Kerentanan SolarWinds Serv-U bukan insiden pertama yang menargetkan perangkat transfer file. Dalam beberapa tahun terakhir, produk seperti MOVEit, GoAnywhere, dan Accellion menjadi sasaran empuk kelompok peretas yang mengeksploitasi kelemahan pada perangkat lunak yang sering kali terekspos ke internet. Pola ini menunjukkan bahwa perangkat transfer file, yang sering dianggap sebagai utilitas biasa, sebenarnya menyimpan risiko keamanan yang signifikan.

Dengan tenggat waktu CISA yang hanya dua minggu setelah pengumuman, organisasi yang menggunakan SolarWinds Serv-U tidak memiliki banyak waktu untuk berpikir. Patching segera tetap menjadi opsi terbaik, sementara mitigasi jaringan bisa menjadi jaring pengaman sambil menunggu proses deployment patch yang terkadang memerlukan waktu di lingkungan enterprise.

Bagi pengelola sistem di Indonesia yang menggunakan SolarWinds Serv-U untuk keperluan transfer file internal maupun eksternal, imbauan ini juga berlaku. Paparan layanan transfer file ke internet publik tanpa lapisan perlindungan tambahan adalah risiko yang harus segera dievaluasi, terutama bagi organisasi yang bergerak di sektor keuangan, telekomunikasi, dan pemerintahan.***