SolarWinds Serv-U Punya Celah yang Sedang Dieksploitasi, CISA Beri Batas Waktu 2 Pekan untuk Patch

CLB.my.id - Badan Keamanan Siber Amerika Serikat (CISA) menambahkan celah keamanan baru pada perangkat lunak transfer file SolarWinds Serv-U ke daftar Known Exploited Vulnerabilities (KEV) setelah menemukan bukti eksploitasi aktif di dunia nyata. Celah yang dilacak dengan kode CVE-2026-28318 ini memungkinkan penyerang tanpa autentikasi apa pun untuk merusak layanan Serv-U dari jarak jauh, tanpa perlu memiliki akun atau kata sandi.

CVE-2026-28318 dikategorikan sebagai kelemahan Uncontrolled Resource Consumption (CWE-400), jenis kerentanan di mana aplikasi gagal membatasi sumber daya sistem yang dialokasikan saat memproses data masuk. Dalam kasus SolarWinds Serv-U, kelemahan ini terletak pada cara perangkat lunak menangani permintaan HTTP tertentu yang dikirimkan oleh penyerang.

Serangan Tanpa Kredensial dari Jarak Jauh

Penyerang bisa mengeksploitasi kelemahan ini dengan mengirimkan permintaan POST yang dibuat khusus dengan header HTTP Content-Encoding: deflate. Saat layanan Serv-U mencoba memproses payload tersebut, ia mengonsumsi sumber daya CPU dan memori secara berlebihan hingga akhirnya memicu kondisi denial-of-service yang membuat layanan berhenti berfungsi.

Yang membuat celah ini sangat mengkhawatirkan adalah serangannya tidak memerlukan hak akses atau kredensial autentikasi apa pun. Tidak ada kata sandi yang perlu dibobol, tidak ada akun yang perlu dikompromikan. Selain itu, serangan bisa dieksekusi sepenuhnya melalui jaringan, menjadikannya vektor yang sangat menarik bagi penyerang jarak jauh yang ingin mengganggu operasi berbagi file perusahaan atau mengalihkan perhatian tim keamanan untuk menyusup lebih dalam.

CISA menambahkan CVE-2026-28318 ke katalog KEV pada 5 Juni 2026, dan menetapkan batas waktu perbaikan tanggal 19 Juni 2026 untuk semua lembaga Federal Civilian Executive Branch (FCEB). Tenggat dua pekan ini menunjukkan betapa seriusnya CISA menanggapi ancaman tersebut, terutama mengingat eksploitasi sudah berlangsung aktif di lapangan.

SolarWinds Rilis Hotfix, Semua Versi Lama Terdampak

SolarWinds telah merespons ancaman ini dengan merilis hotfix keamanan. Perusahaan menerbitkan advisory melalui Trust Center mereka, dan detail teknis lengkap tersedia melalui entri National Vulnerability Database (NVD) untuk CVE-2026-28318. Organisasi yang menjalankan versi perangkat lunak sebelum patch yang dirilis dianggap rentan dan harus mengambil tindakan segera.

SolarWinds Serv-U versi 15.5.4 Hotfix 1 adalah satu-satunya versi yang sudah diperbaiki. Tim keamanan disarankan untuk segera menerapkan patch tersebut ke semua deployment perusahaan. Jika penerapan patch tidak bisa dilakukan segera, langkah darurat yang bisa diambil antara lain menempatkan layanan Serv-U di balik firewall perusahaan atau VPN yang aman, serta memantau log keamanan untuk permintaan POST mencurigakan yang mengandung header Content-Encoding: deflate.

Meskipun CISA hanya mewajibkan perbaikan untuk lembaga federal, badan tersebut sangat menyarankan semua organisasi di sektor publik maupun swasta untuk memprioritaskan perbaikan ini sebagai bagian dari praktik manajemen kerentanan mereka. Ancaman ini tidak mengenal batas sektor atau negara.

Konteks Lebih Luas: Masalah Bukan pada Patch, tapi pada Penerapannya

Penambahan ini mengingatkan pada pola yang terus berulang sepanjang 2026, di mana masalah utama bukan lagi ketiadaan patch, melainkan lambatnya penerapan patch di lapangan. Kasus SolarWinds Serv-U ini sejajar dengan celah Palo Alto GlobalProtect dan FortiClient EMS yang juga dieksploitasi aktif oleh penyerang sebelum sempat diperbaiki oleh banyak organisasi.

Laporan Verizon 2026 Data Breach Investigations Report bahkan mencatat bahwa eksploitasi kerentanan telah melampaui pencurian kredensial sebagai vektor akses awal utama dalam serangan siber. Artinya, jarak waktu antara ketersediaan patch dan penerapannya di lingkungan produksi adalah jendela yang dimanfaatkan oleh penyerang untuk masuk.

CISA akan terus menambahkan kerentanan ke katalog KEV yang memenuhi kriteria yang ditetapkan. Bagi organisasi Indonesia yang menggunakan SolarWinds Serv-U untuk operasi transfer file, langkah terbaik adalah segera memeriksa versi yang digunakan dan menerapkan hotfix tanpa menunggu tenggat waktu berlalu. Patch yang tersedia tapi tidak diterapkan sama artinya dengan tidak ada patch sama sekali.