Cisco SD-WAN Manager Kebobolan Zero-Day, Peretas Bisa Kuasai Jaringan Perusahaan Tanpa Patch
Cisco SD-WAN Manager Kebobolan Zero-Day, Peretas Bisa Kuasai Jaringan Perusahaan Tanpa Patch
CLB.my.id - Celah kritis zero-day pada Cisco Catalyst SD-WAN Manager kini sedang dieksploitasi secara aktif oleh peretas. Yang lebih mengkhawatirkan, belum ada tambalan resmi dari Cisco untuk menutup kelemahan ini. Perusahaan dan lembaga pemerintah yang menggunakan platform tersebut harus segera mengambil langkah mitigasi.
Kerentanan yang dilacak dengan kode CVE-2026-20245 ini memungkinkan penyerang yang sudah memiliki akses netadmin untuk meningkatkan hak akses dan mengeksekusi perintah arbitrer dengan hak root. Dengan kata lain, peretas bisa mengambil alih kendali penuh atas infrastruktur SD-WAN perusahaan.
Cisco dan Google Mandiant telah mengonfirmasi eksploitasi aktif di dunia nyata. Menurut laporan Rescana, kelompok penyerang yang dikaitkan dengan Cluster UAT-8616 diduga merupakan aktor berbasis negara (state-sponsored) atau kelompok kriminal yang sangat terorganisir. Mereka diketahui telah memanfaatkan kerentanan terkait sebelumnya, termasuk CVE-2026-20127.
Bagaimana Celah Ini Dieksploitasi
CVE-2026-20245 berasal dari kegagalan validasi input pada fungsi unggah berkas CLI (file upload) di Cisco Catalyst SD-WAN Manager. Penyerang yang sudah memiliki akses netadmin, atau yang berhasil melewati autentikasi melalui celah autentikasi bypass (CVE-2026-20182 dan CVE-2026-20127), bisa mengunggah berkas khusus yang dirancang untuk memicu injeksi perintah dengan hak akses root.
Skrip kunci yang terlibat adalah /usr/bin/vconfd_script_upload_tenant_list.sh. Saat berkas berbahaya diproses oleh sistem, input yang tidak disanitasi dengan baik membuka celah bagi penyerang untuk menjalankan perintah apa pun di tingkat sistem operasi.
Dalam sejumlah insiden yang tercatat, eksploitasi CVE-2026-20245 didahului oleh pemanfaatan celah autentikasi bypass untuk mendapatkan akses netadmin. Rantai serangan ini memungkinkan peretas mendorong perubahan konfigurasi yang tidak sah ke perangkat tepi (edge device) SD-WAN, yang berdampak pada segmentasi jaringan, routing, dan kebijakan keamanan.
Siapa yang Terancam
Kerentanan ini mengancam berbagai sektor, mulai dari keuangan, kesehatan, pemerintahan, telekomunikasi, hingga penyedia layanan terkelola (managed service provider). Korban yang teridentifikasi memiliki kesamaan: mereka menggunakan Cisco Catalyst SD-WAN Manager sebagai orkestrator pusat untuk infrastruktur SD-WAN mereka.
Baik instans berbasis on-premises maupun cloud berisiko, termasuk yang dijalankan di bawah FedRAMP untuk penggunaan pemerintah Amerika Serikat.
Langkah Mitigasi Segera
Karena tambalan resmi belum tersedia, Cisco dan peneliti keamanan merekomendasikan beberapa langkah darurat:
Pertama, segera terapkan perbaikan untuk kerentanan autentikasi bypass terkait (CVE-2026-20182 dan CVE-2026-20127) yang sering digunakan sebagai pintu masuk awal. Kedua, audit semua akun netadmin dan kredensial, serta cabut akses yang tidak perlu atau mencurigakan.
Ketiga, batasi fungsi CLI dan unggah berkas hanya untuk administrator tepercaya. Terapkan segmentasi jaringan untuk membatasi akses ke antarmuka manajemen SD-WAN, dan hapus paparan internet langsung untuk instans Cisco Catalyst SD-WAN Manager. Tempatkan di balik VPN atau gerbang kontrol akses jika memungkinkan.
Keempat, pantau terus /var/log/scripts.log untuk aktivitas unggah berkas yang tidak wajar, terutama entri yang merujuk pada berkas CSV tidak standar atau eksekusi skrip yang tidak terduga. Buat sistem peringatan dini untuk perubahan konfigurasi yang tidak sah pada perangkat tepi.
Jika kekompakan terindikasi, segera kumpulkan artefak forensik seperti berkas admin-tech dan hubungi Cisco TAC untuk dukungan respons insiden.
Peringatan untuk Ekosistem yang Lebih Luas
Kasus ini menjadi pengingat bahwa infrastruktur jaringan yang diandalkan oleh ribuan organisasi di seluruh dunia bisa menjadi target utama peretas canggih. Transisi dari “tersedia kode eksploit” ke “pemindaian dan eksploitasi aktif” untuk kerentanan infrastruktur Cisco biasanya terjadi dalam hitungan hari, bukan minggu.
CVE-2026-20245 saat ini belum memiliki skor CVSS resmi dari NVD (National Vulnerability Database), tetapi Cisco memberikan peringkat dampak keamanan Kritis mengingat jalur eskalasi ke hak akses root yang bisa mengkompromikan seluruh server manajemen SD-WAN.
