Ivanti Sentry Dibobol Zero-Day Skor Maksimal 10.0, Peretas Bisa Kuasai Seluruh Email Perusahaan Tanpa Login

CLB.my.id - Celah keamanan kritis pada Ivanti Sentry, perangkat gerbang seluler yang banyak digunakan perusahaan besar, sedang dieksploitasi secara aktif oleh peretas. Kerentanan ini mendapat skor CVSS 10.0, skor maksimal yang menandakan tingkat bahaya paling tinggi, dan memungkinkan penyerang mengambil alih seluruh sistem tanpa memerlukan kata sandi atau autentikasi apa pun.

Lembaga nirlaba keamanan siber Shadowserver mengonfirmasi eksploitasi aktif pada 11 Juni 2026, kurang dari 48 jam setelah patch dan kode bukti konsep publik tersedia. Dari 19 contoh Ivanti Sentry yang terdeteksi dalam pemindaian, setidaknya dua sudah berhasil dibobol dan ditanam backdoor.

Dua Celah yang Membentuk Rantai Serangan Sempurna

Ivanti merilis penasihat keamanan pada 9 Juni 2026 yang mengungkap dua kerentanan kritis. CVE-2026-10520 mendapat skor CVSS 10.0 karena menggabungkan kondisi keparahan maksimal di setiap aspek penilaian: tidak memerlukan autentikasi, tidak memerlukan interaksi pengguna, tidak memerlukan akses sebelumnya, dan memberikan kompromi total terhadap perangkat.

Celah kedua, CVE-2026-10523 dengan skor CVSS 9.9, adalah bypass autentikasi yang memungkinkan penyerang tanpa kredensial valid membuat akun administrator semau mereka dan mendapatkan kontrol penuh. Kedua celah ini membentuk rantai serangan yang lengkap: gunakan CVE-2026-10523 untuk membuat akun berhak akses, lalu manfaatkan CVE-2026-10520 untuk menjalankan perintah level root sesuka hati.

Firma keamanan WatchTowr yang menerbitkan analisis teknis lengkap dan kode bukti konsep pada 10 Juni melacak kerentanan ke kelas ConfigServiceController di dalam berkas mics.war, aplikasi web yang menjalankan antarmuka konfigurasi Sentry. Endpoint yang rentan menerima permintaan POST tanpa autentikasi dan meneruskan pesan yang dikirim pengguna langsung ke penangan konfigurasi backend.

Saat token perintah diatur ke execute, penangan memanggil metode executeNativeCommand yang menggunakan refleksi Java untuk memanggil operasi level sistem. Penyerang bisa memasukkan blok perintah XML dengan perintah sistem operasi apa pun dan menerima keluaran perintah tersebut dalam respons HTTP.

Mengapa Ini Berbahaya bagi Perusahaan

Ivanti Sentry, sebelumnya dikenal sebagai MobileIron Sentry, berada secara inline antara armada perangkat mobile perusahaan dan sistem backend. Perangkat ini paling sering digunakan untuk mengatur lalu lintas email ActiveSync ke Microsoft Exchange. Kompromi level root terhadap Sentry setara dengan akses tanpa batas ke setiap kotak masuk, kalender, dan aplikasi enterprise yang diperantarai oleh perangkat tersebut.

CISA, lembaga keamanan siber Amerika Serikat, secara formal menyatakan bahwa pabrikan bisa menghilangkan kerentanan injeksi perintah dari sumbernya. CISA mengkritik keterus-menerusan industri keamanan pada siklus patch-dan-respons untuk kelas kerentanan yang sudah dipahami selama beberapa dekade.

Ivanti mengirimkan celah injeksi perintah CVSS 10.0 di perangkat lunak perimeter enterprise pada 2026 bukan sekadar peristiwa kerentanan, tulis analis keamanan. Ini mencerminkan kegagalan desain yang persisten pada produk yang telah berulang kali menjadi sasaran aktor negara.

Seberapa Cepat Peretas Bergerak?

Rapid7 menilai eksploitasi kemungkinan besar akan segera dimulai ketika kode bukti konsep diterbitkan pada 10 Juni dan merekomendasikan patching di luar siklus normal. Jendela itu ternyata berakhir lebih cepat dari perkiraan. Konfirmasi Shadowserver pada 11 Juni berarti setiap perangkat Sentry yang terhubung internet dan belum di-patch setelah sekitar pukul 06.00 waktu timur AS pada 11 Juni, kurang dari 40 jam setelah kode bukti konsep tersedia, harus dianggap sudah dibobol hingga investigasi forensik membuktikan sebaliknya.

Beberapa lembaga keamanan nasional menaikkan penilaian kemungkinan eksploitasi mereka setelah publikasi WatchTowr. CERT-EU menerbitkan Security Advisory 2026-008. NHS England National CSOC menilai eksploitasi sebagai sangat mungkin. Pusat Keamanan Siber Nasional Belanda meningkatkan peringkat risiko mereka.

Apa yang Harus Dilakukan?

Ivanti merilis patch pada 9 Juni 2026. Versi yang sudah diperbaiki adalah Sentry R10.5.2 untuk cabang 10.5.x, R10.6.2 untuk cabang 10.6.x, dan R10.7.1 untuk cabang 10.7.x. Semua versi sebelum rilis ini di ketiga cabang tetap rentan dan, mengingat eksploitasi aktif yang sudah dikonfirmasi, harus dianggap sudah dikompromikan.

Jika patching tidak bisa dilakukan segera, langkah darurat yang direkomendasikan adalah memutus keterjangkauan jaringan dari perangkat Sentry yang terpapar. Shadowserver mengingatkan bahwa jumlah perangkat yang terpengaruh kemungkinan besar lebih tinggi dari yang terdeteksi, karena banyak deployment Sentry yang secara default memblokir alat pemindaian internet.

Bagi organisasi di Indonesia yang menggunakan Ivanti Sentry untuk mengelola perangkat mobile karyawan, situasi ini menjadi peringatan keras. Patch sekarang, atau anggap sistem sudah kompromi.

Judul CMS: Ivanti Sentry Dibobol Zero-Day Skor Maksimal 10.0, Peretas Bisa Kuasai Email Perusahaan Tanpa Login

Meta Description: Celah Ivanti Sentry CVSS 10.0 sedang dieksploitasi aktif. Peretas bisa kuasai seluruh email perusahaan tanpa autentikasi. Patch sekarang atau anggap kompromi.

Rubrik: Security

Tag: Ivanti, Sentry, CVE, Zero-Day, Security, Enterprise, CVSS

Source: Kosongkan (sumber dari TechTimes, Shadowserver, WatchTowr)

Catatan CMS: Status rekomendasi: Draft Alasan: Security advisory dari Shadowserver dan WatchTowr. Klaim teknis dari analisis resmi. Tanpa instruksi eksploit.