Dua Celah Jaringan Enterprise Terungkap, Arista EOS dan Cisco SD-WAN Masuk Daftar Darurat CISA

CLB.my.id - CISA menambahkan tiga kerentanan baru ke katalog Known Exploited Vulnerabilities (KEV) pada 9 Juni 2026, dan dua di antaranya menargetkan infrastruktur jaringan enterprise yang dipakai oleh perusahaan besar dan penyedia layanan cloud di seluruh dunia. Celah di Arista EOS dan Cisco Catalyst SD-WAN Manager menjadi peringatan keras bagi tim IT yang mengelola jaringan korporat.

Arista EOS: Tunnel yang Tidak Seharusnya Dibuka

CVE-2026-7473 menyerang Arista Extensible Operating System (EOS), sistem operasi jaringan yang banyak dipakai di data center dan lingkungan cloud. Kerentanan ini berada pada fungsi dekapsulasi tunnel, mekanisme yang memungkinkan jaringan membungkus dan mengirim data melalui protokol tunneling seperti VXLAN (Virtual Extensible LAN) dan GRE (Generic Routing Encapsulation).

Masalahnya, switch yang menjalankan Arista EOS tidak memverifikasi jenis protokol tunnel secara memadai. Akibatnya, paket data tunnel yang tidak dikonfigurasi sebelumnya bisa didekapsulasi dan diteruskan secara tidak terduga selama alamat IP tujuannya cocok dengan IP dekapsulasi yang sudah diatur. Kondisi ini membuka celah bagi penyerang untuk memanipulasi lalu lintas jaringan tanpa sepengetahuan administrator.

Yang membuat celah ini sangat serius adalah statusnya yang sudah dieksploitasi secara aktif di dunia nyata. Arista Networks mengonfirmasi hal ini dalam penasihat keamanan resmi mereka. Skor CVSS 3.1 yang diberikan adalah 5,8 (MEDIUM), tetapi konteks eksploitasi aktif membuatnya masuk kategori kritis dari sudut pandang operasional.

Sistem operasi EOS dipakai secara luas di infrastruktur hyperscaler dan perusahaan teknologi besar. Celah di lapisan dekapsulasi tunnel berarti penyerang yang berada di jaringan yang sama bisa menyisipkan paket berbahaya yang akan diproses seolah-olah berasal dari tunnel yang sah.

Cisco SD-WAN: Dari CLI ke Akses Root

CVE-2026-20245 menargetkan Cisco Catalyst SD-WAN Manager, sebelumnya dikenal sebagai SD-WAN vManage. Produk ini adalah platform manajemen yang mengontrol seluruh jaringan SD-WAN perusahaan, menjadikannya target bernilai tinggi bagi penyerang.

Kerentanan ini berada di antarmuka CLI (Command Line Interface) dan memungkinkan penyerang lokal dengan hak akses netadmin menjalankan perintah arbitrary sebagai root. Mekanismenya melalui unggahan file yang sudah dimodifikasi (crafted file) ke sistem yang terdampak. Validasi input dari pengguna yang tidak memadai menjadi akar masalahnya.

Cisco mengonfirmasi bahwa mereka telah mengamati kasus terbatas di mana eksploitasi celah ini menghasilkan perubahan konfigurasi yang didorong ke perangkat edge. Artinya, serangan tidak hanya berhenti di server manajemen, tetapi bisa menyebar ke seluruh perangkat jaringan yang terhubung.

Skor CVSS 3.1 sebesar 7,8 (HIGH) diberikan oleh Cisco sendiri sebagai CNA (CVE Numbering Authority). Meskipun serangan memerlukan akses lokal dan kredensial netadmin, kombinasi dengan kerentanan lain yang memberikan eskalasi hak akses bisa membuat celah ini jauh lebih berbahaya.

Cisco telah merilis pembaruan perangkat lunak sejak 14 Mei 2026 dan sangat menyarankan pelanggan untuk segera memperbarui serta memverifikasi konfigurasi perangkat edge mereka. Perusahaan juga mengaitkan celah ini dengan kampanye serangan yang lebih luas, merujuk pada dua advisory keamanan terpisah.

Mengapa Kedua Celah Ini Penting?

Baik Arista EOS maupun Cisco SD-WAN adalah tulang punggung jaringan enterprise modern. Arista banyak dipakai di data center tier-1 dan lingkungan cloud, sementara Cisco SD-WAN mengelola konektivitas ribuan cabang perusahaan di seluruh dunia.

Ketika CISA memasukkan kerentanan dari kedua vendor ini ke katalog KEV pada hari yang sama, pesannya jelas, infrastruktur jaringan enterprise sedang menjadi target aktif penyerang. Kedua celah ini berada di lapisan yang berbeda tetapi saling melengkapi: Arista menyerang lapisan data plane melalui manipulasi tunnel, sementara Cisco menyerang lapisan control plane melalui eskalasi hak akses di CLI.

Untuk tim keamanan TI di Indonesia, peringatan ini relevan mengingat banyak perusahaan besar dan penyedia layanan cloud lokal yang menggunakan produk dari kedua vendor. Keterlambatan dalam menerapkan patch bisa membuka pintu bagi serangan yang berdampak pada operasional bisnis secara keseluruhan.

Langkah Mitigasi

Untuk Arista EOS, administrator perlu memeriksa penasihat keamanan Arista SA0137 dan memastikan konfigurasi tunnel tidak rentan terhadap dekapsulasi paket yang tidak diinginkan. Pembaruan firmware harus diterapkan sesegera mungkin.

Untuk Cisco SD-WAN Manager, langkah prioritas adalah memperbarui ke versi perangkat lunak yang sudah ditambal, memverifikasi konfigurasi perangkat edge yang mungkin sudah dimodifikasi oleh penyerang, dan membatasi akses CLI hanya untuk akun yang benar-benar diperlukan. Cisco juga menyarankan untuk meninjau advisory keamanan terkait yang berkaitan dengan kampanye serangan lebih luas.

Kedua vendor menekankan bahwa patch saja tidak cukup. Verifikasi konfigurasi pascapembaruan menjadi langkah krusial untuk memastikan tidak ada backdoor atau perubahan konfigurasi yang tertinggal dari aktivitas eksploitasi sebelumnya.