CISA Tandai Kerentanan SolarWinds, Ivanti, dan Workspace One yang Sedang Dieksploitasi Aktif

Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) baru-baru ini menambahkan tiga kerentanan keamanan yang sedang dieksploitasi secara aktif ke dalam Known Exploited Vulnerabilities (KEV) atau Daftar Kerentanan yang Dikenal Dieksploitasi. Langkah ini sebagai respons atas bukti-bukti serangan nyata yang mengancam berbagai sistem penting di sektor pemerintahan dan perusahaan.

Detail Kerentanan yang Ditandai CISA

Tiga kerentanan yang dimasukkan ke daftar KEV tersebut adalah:

• CVE-2021-22054 (CVSS 7.5): Kerentanan server-side request forgery (SSRF) pada Omnissa Workspace One UEM (sebelumnya dikenal sebagai VMware Workspace One UEM). Kerentanan ini memungkinkan penyerang yang memiliki akses jaringan ke UEM untuk mengirimkan permintaan tanpa otentikasi dan mengakses informasi sensitif.
• CVE-2025-26399 (CVSS 9.8): Kerentanan deserialisasi data tidak tepercaya pada komponen AjaxProxy di SolarWinds Web Help Desk. Eksploitasi ini dapat memungkinkan pelaku ancaman menjalankan perintah berbahaya pada mesin host secara remote.
• CVE-2026-1603 (CVSS 8.6): Kerentanan bypass otentikasi melalui jalur atau saluran alternatif pada Ivanti Endpoint Manager. Penyerang yang tidak terotentikasi dapat membocorkan data kredensial tertentu yang tersimpan dalam sistem.

Aktivitas Eksploitasi dan Implikasinya

Penambahan CVE-2025-26399 ke daftar KEV terjadi menyusul laporan dari Microsoft dan Huntress yang mengindikasikan bahwa kelompok ransomware Warlock memanfaatkan kerentanan ini untuk mendapatkan akses awal ke sistem target melalui SolarWinds Web Help Desk. Ini menegaskan bahwa ancaman ransomware semakin mengincar kelemahan perangkat lunak enterprise yang banyak digunakan.

Sementara itu, CVE-2021-22054 telah dipantau oleh GreyNoise sejak Maret 2025, yang mengungkapkan bahwa kerentanan SSRF ini sedang digunakan dalam kampanye terkoordinasi bersama beberapa kerentanan SSRF lain di produk berbeda. Ini menunjukkan bahwa serangan berbasis SSRF masih menjadi metode favorit aktor jahat untuk mengeksfiltrasi data dan melakukan penyusupan.

Untuk CVE-2026-1603, hingga saat ini belum ada informasi rinci mengenai bagaimana kerentanan ini digunakan secara nyata di lapangan. Ivanti sendiri belum memperbarui buletin keamanannya terkait status eksploitasi kerentanan ini.

Tenggat Waktu Patch dan Imbauan CISA

Menanggapi ancaman tersebut, instansi Federal Civilian Executive Branch (FCEB) diwajibkan untuk menerapkan perbaikan keamanan sebagai berikut:

1. Perbaikan untuk SolarWinds Web Help Desk harus selesai diterapkan paling lambat 12 Maret 2026.
2. Perbaikan untuk Ivanti Endpoint Manager dan Omnissa Workspace One UEM harus diselesaikan sebelum 23 Maret 2026.

CISA menegaskan bahwa kerentanan seperti yang disebutkan adalah vektor serangan yang sering digunakan oleh aktor siber jahat dan membawa risiko besar terhadap sistem pemerintahan federal dan keamanan nasional.

Analisis Redaksi

Menurut pandangan redaksi, penambahan tiga kerentanan ini ke dalam daftar KEV oleh CISA menandai peningkatan intensitas dan skala serangan siber yang menargetkan infrastruktur penting, khususnya di sektor pemerintahan dan perusahaan besar. Eksploitasi SolarWinds yang dikaitkan dengan kelompok ransomware Warlock menunjukkan adanya tren eksploitasi kerentanan perangkat lunak manajemen IT yang selama ini dianggap sebagai sistem pendukung, namun kini menjadi target utama untuk mendapatkan akses awal dalam serangan siber.

Lebih jauh, kerentanan SSRF di Workspace One UEM menunjukkan bahwa metode serangan tradisional seperti SSRF masih relevan dan efektif apabila tidak ditangani dengan baik. Ini menggarisbawahi pentingnya perlindungan berlapis dan audit keamanan yang rutin pada aplikasi-aplikasi enterprise yang kompleks.

Meski Ivanti belum mengonfirmasi eksploitasi aktif, kewaspadaan harus tetap dijaga mengingat potensi kerusakan yang dapat ditimbulkan oleh kebocoran kredensial. Pembaruan keamanan dan kepatuhan terhadap tenggat waktu patch yang ditetapkan CISA adalah langkah krusial untuk menghindari insiden yang lebih parah.

Ke depan, publik dan pelaku industri harus memantau dengan cermat perkembangan ancaman terkait kerentanan ini dan memperkuat strategi keamanan siber secara holistik. Kolaborasi antara pemerintah, vendor perangkat lunak, dan komunitas keamanan menjadi kunci utama dalam mengurangi risiko dan dampak serangan siber yang terus berkembang.

Ikuti terus perkembangan berita keamanan siber terbaru untuk mendapatkan informasi dan langkah mitigasi yang tepat.