Kritikal! Kerentanan Progress Kemp LoadMaster Izinkan Eksekusi Perintah Root Tanpa Autentikasi

Kerentanan kritikal ditemukan di Progress Kemp LoadMaster yang memungkinkan penyerang tanpa autentikasi menjalankan perintah apa pun sebagai root hanya dengan mengirim permintaan khusus ke API perangkat tersebut. Kerentanan ini terdaftar sebagai CVE-2026-8037 dan memiliki skor CVSS 9.8 menurut Zero Day Initiative (ZDI).

Progress mengeluarkan advisory resmi pada 4 Juni 2026 dan menyatakan belum ada laporan eksploitasi nyata. Namun, pada 29 Juni, peneliti dari watchTowr Labs merilis analisis teknis lengkap beserta bukti konsep (PoC) eksploitasi yang mendemonstrasikan bagaimana serangan tersebut bisa dilakukan.

Bagaimana Kerentanan Ini Bekerja

LoadMaster adalah perangkat pengendali pengiriman aplikasi dan load balancer yang digunakan perusahaan untuk mengelola lalu lintas server. Karena beroperasi di tepi jaringan, kerentanan tanpa autentikasi seperti ini sangat berbahaya.

Masalah utama ada pada fungsi escape_quotes() yang seharusnya membersihkan input pengguna dengan menambah escape pada tanda kutip tunggal agar tidak terjadi injeksi perintah. Namun, fungsi ini mengalokasikan buffer memori tanpa menginisialisasi ulang dan tidak menambahkan null terminator di akhir string hasil sanitasi.

Tanpa null terminator, sistem terus membaca melewati akhir input yang disanitasi ke data yang tidak terduga di memori. Penyerang dapat memanfaatkan ini dengan menambahkan kunci JSON ekstra di permintaan API yang berisi payload injeksi perintah. Sistem membaca payload tersebut dan mengeksekusinya sebagai perintah root.

Serangan diarahkan ke endpoint /accessv2, yang menangani validasi kredensial API. Penyerang mengirimkan JSON dengan nilai apiuser yang diolah khusus serta puluhan pasangan kunci-nilai berisi perintah berbahaya. Tidak diperlukan kredensial valid sama sekali.

Versi yang Terpengaruh dan Solusi

Kerentanan ini memengaruhi LoadMaster GA versi 7.2.63.1 dan sebelumnya, serta LTSF versi 7.2.54.17 dan sebelumnya, dengan syarat API diaktifkan. Progress telah merilis patch untuk memperbaiki masalah ini, yakni LoadMaster GA versi 7.2.63.2 dan LTSF versi 7.2.54.18.

Pembaruan ini sangat minimal, hanya dua perubahan kode:

• Penggantian fungsi alokasi memori menjadi yang menginisialisasi buffer dengan nol (zero-filled).
• Penambahan eksplisit null terminator di akhir string yang sudah di-escape.

Dengan dua baris kode ini, jalur eksploitasi untuk eksekusi perintah root tertutup rapat.

Kerentanan ini ditemukan oleh Syed Ibrahim Ahmed dari TrendAI Research dan dilaporkan ke Progress melalui Zero Day Initiative pada 15 April 2026. ZDI mengkoordinasikan rilis advisory publik pada 9 Juni. WatchTowr Labs melakukan analisis independen atas patch dan merilis penjabaran teknis lengkap dengan PoC pada 29 Juni.

Kerentanan Lain dan Pola Ancaman

Selain CVE-2026-8037, Progress juga memperbaiki kerentanan serius lain dalam advisory yang sama, yakni CVE-2026-33691, sebuah celah bypass Web Application Firewall (WAF) yang memungkinkan melewati pemeriksaan ekstensi berkas pada unggahan dengan padding spasi.

Ini bukan pertama kalinya LoadMaster menghadapi kerentanan kritikal. Pada November 2024, CISA menambahkan kerentanan command injection LoadMaster sebelumnya (CVE-2024-1212) dengan skor CVSS 10.0 ke daftar Kerentanan yang Sudah Dieksploitasi (Known Exploited Vulnerabilities) setelah terbukti dieksploitasi di lapangan.

Pada April 2026, Progress juga menambal lima kerentanan serius LoadMaster lainnya, empat di antaranya terkait command injection. Progress juga dikenal sebagai pembuat MOVEit, produk yang tahun 2023 lalu menjadi sasaran serangan masif oleh kelompok ransomware Cl0p.

Canadian Centre for Cyber Security turut mengeluarkan peringatan agar administrator segera menerapkan pembaruan ini.

Rekomendasi dan Langkah Selanjutnya

Saat ini, belum ada laporan serangan nyata yang memanfaatkan CVE-2026-8037, namun dengan sudah dirilisnya PoC, risiko eksploitasi akan meningkat drastis. Oleh karena itu, sangat penting untuk segera memasang patch yang tersedia dan mengevaluasi kebutuhan apakah API LoadMaster harus tetap dapat diakses secara publik.

Analisis Redaksi

Menurut pandangan redaksi, kerentanan ini menyoroti risiko serius pada perangkat yang beroperasi di tepi jaringan, terutama yang mengaktifkan API dengan akses luas. Bug sederhana dalam fungsi sanitasi input yang terlihat sepele ternyata bisa membuka jalan bagi eksekusi perintah root tanpa autentikasi, yang dapat menyebabkan kompromi total sistem.

Tren terjadinya banyak kerentanan command injection di LoadMaster dan produk Progress lainnya juga memperlihatkan perlunya penguatan proses pengujian keamanan perangkat lunak mereka. Pengguna LoadMaster sebaiknya tidak hanya menginstal patch, tetapi juga meninjau konfigurasi dan membatasi akses API secara ketat.

Ke depan, pengawasan terhadap kerentanan perangkat jaringan kelas enterprise menjadi semakin krusial mengingat peran sentralnya dalam infrastruktur TI. Pembaca harus tetap waspada dan mengikuti pembaruan keamanan terbaru dari vendor serta lembaga resmi seperti CISA atau Canadian Centre for Cyber Security.

Untuk informasi lebih lanjut dan update terkini, ikuti terus berita keamanan siber dari sumber terpercaya.