Eksploitasi Zero-Day CVE-2026-20245 pada Cisco Catalyst SD-WAN untuk Akses Root

Eksploitasi Zero-Day CVE-2026-20245 pada Cisco Catalyst SD-WAN baru-baru ini terungkap sebagai celah keamanan kritis yang telah dimanfaatkan oleh pelaku ancaman tidak dikenal untuk mendapatkan akses root pada jaringan penyedia layanan. Menurut temuan terbaru dari Mandiant, anak perusahaan Google yang fokus pada respons insiden dan intelijen ancaman, kerentanan ini telah disalahgunakan sebagai zero-day setidaknya dua bulan sebelum diumumkan secara publik.

Detail Kerentanan dan Cara Eksploitasi

Kerentanan yang diberi kode CVE-2026-20245 dengan skor CVSS 7.8 ini memungkinkan penyerang yang sudah memiliki akses lokal dan hak administrator untuk menjalankan perintah sewenang-wenang dengan hak istimewa yang ditingkatkan. Hal ini terjadi karena perangkat yang terdampak melakukan validasi input pengguna secara tidak memadai, sehingga penyerang dapat menyuplai berkas berbahaya yang memicu eskalasi hak akses.

Cisco mengakui bahwa kerentanan ini telah dieksploitasi, dengan catatan bahwa pelaku harus memiliki hak netadmin untuk melakukan serangan sukses. Mandiant menjelaskan bahwa penyerang menggunakan teknik anti-forensik yang canggih dengan memilih secara selektif menghapus dan mengembalikan file konfigurasi sistem agar aktivitas mereka sulit terdeteksi.

Serangkaian Serangan Terhadap Penyedia Layanan Komunikasi

Menurut laporan Mandiant, serangan menyasar sebuah penyedia layanan komunikasi yang tidak disebutkan namanya. Tujuan utama penyerang adalah mengeskalasi sebuah akun admin yang sudah terkompromi menjadi akses root penuh.

1. Gelombang pertama terjadi antara akhir 2025 hingga Januari 2026, dengan indikasi adanya koneksi peering tidak sah yang kemungkinan memanfaatkan dua kerentanan bypass autentikasi pada pengontrol Cisco Catalyst SD-WAN, yaitu CVE-2026-20127 dan CVE-2026-20182. Pada waktu itu, kedua kerentanan tersebut masih merupakan zero-day yang belum diketahui publik.
2. Gelombang kedua berlangsung pada Maret 2026, menargetkan perangkat dengan versi perangkat lunak lebih baru yang sudah diperbaiki terhadap CVE-2026-20127. Cisco mengonfirmasi bahwa koneksi ini tidak menggunakan CVE-2026-20182, sehingga besar kemungkinan penyerang menggunakan sertifikat curian dari pelanggaran sebelumnya untuk masuk awal ke perangkat tersebut.

Setelah memperoleh akses awal, penyerang mengganti kredensial admin default sebelum mengeksploitasi CVE-2026-20245 melalui unggahan file CSV berbahaya bernama "evil_tenant.csv". Eksploitasi ini memungkinkan eskalasi hak akses dan pembuatan akun pengguna palsu dengan nama "troot" yang memiliki kontrol shell level root.

Teknik Penyerang dalam Menutupi Jejak

Penyerang secara konsisten menghapus file yang mereka buat, membalikkan perubahan konfigurasi, dan menjalankan skrip validasi untuk memastikan tidak ada jejak yang tersisa. Mereka bahkan mengganti kembali password admin ke nilai awal setelah mengekstrak konfigurasi SD-WAN agar administrator yang masuk tidak curiga.

"Setelah mengganti password admin default dan mengekstrak konfigurasi fabric SD-WAN, pelaku mengembalikan password ke nilai semula agar administrator tidak menyadari adanya perubahan," jelas Austin Larsen, analis ancaman utama di Google Threat Intelligence Group (GTIG).

Google juga menekankan bahwa kasus ini menegaskan tren berkelanjutan di mana aktor jahat memanfaatkan zero-day pada perangkat edge seperti SD-WAN yang minim telemetri dan sulit dianalisis secara forensik. Dengan menguasai perangkat ini, penyerang dapat memiliki visibilitas persisten terhadap lalu lintas internal jaringan.

Analisis Redaksi

Menurut pandangan redaksi, eksploitasi zero-day CVE-2026-20245 pada Cisco Catalyst SD-WAN menyoroti kerentanan serius dalam sistem jaringan yang menjadi tulang punggung komunikasi modern. Perangkat SD-WAN yang tidak didukung secara native oleh solusi Endpoint Detection and Response (EDR) menghadirkan celah besar bagi aktor berbahaya untuk melakukan infiltrasi tanpa terdeteksi dalam waktu lama.

Selain itu, penggunaan teknik anti-forensik yang sistematis oleh pelaku menunjukkan tingkat kecanggihan serangan yang semakin meningkat. Ini bukan hanya masalah teknis, tetapi juga tantangan besar bagi tim keamanan siber di perusahaan dan penyedia layanan untuk meningkatkan mekanisme deteksi dan respons insiden.

Ke depan, publik dan pelaku industri harus mewaspadai potensi serangan zero-day lainnya pada perangkat jaringan edge serta pentingnya penerapan sistem keamanan berlapis dan pemantauan aktif. Informasi lebih lanjut dan pembaruan terkait kerentanan ini sangat krusial untuk diikuti agar dapat mengantisipasi ancaman yang mungkin muncul.

Untuk informasi lebih lengkap, baca laporan asli dari The Hacker News dan update keamanan dari Cisco.