Kerentanan Kritis FortiClient EMS Aktif Dieksploitasi di Internet, Fortinet Rilis Hotfix Darurat untuk Cegah Eksekusi Kode Ilegal

Fortinet mengonfirmasi adanya eksploitasi aktif terhadap kerentanan kritis pada FortiClient Enterprise Management Server (EMS), yang memungkinkan penyerang tanpa autentikasi untuk mengeksekusi perintah atau kode secara tidak sah melalui permintaan yang dirancang secara khusus. Kerentanan ini diklasifikasikan sebagai masalah improper access control dengan referensi CWE-284, yang berdampak langsung pada mekanisme autentikasi dan otorisasi dalam sistem.

Menurut informasi resmi, kerentanan ini telah diamati dieksploitasi secara langsung di lingkungan nyata atau di Internet secara bebas, yang menandakan bahwa risiko bukan lagi bersifat teori atau informasi biasa. Penyerang dapat memanfaatkan celah ini untuk mengakses fungsi administratif tanpa kredensial, membuka jalur bagi eksekusi perintah berbahaya dari jarak jauh. Dalam konteks infrastruktur enterprise, kondisi ini berpotensi mengarah pada kompromi penuh terhadap sistem manajemen endpoint.

Fortinet merespons dengan merilis hotfix khusus untuk pengguna FortiClient EMS versi 7.4.5 dan 7.4.6. Patch ini dirancang untuk menutup celah keamanan secara cepat tanpa menunggu rilis versi mayor berikutnya. Perusahaan juga mengonfirmasi bahwa perbaikan permanen akan tersedia dalam versi 7.4.7 yang akan datang. Untuk sementara, penerapan hotfix yang tersedia disebut cukup untuk sepenuhnya memitigasi risiko eksploitasi.

Versi yang terdampak secara spesifik mencakup FortiClient EMS 7.4.5 hingga 7.4.6, sementara versi 7.2 dinyatakan tidak terpengaruh. Di sisi lain, kerentanan berbeda yang terkait dengan SQL Injection juga diidentifikasi pada versi 7.4.4 (tenable). Kerentanan ini, yang terdaftar sebagai CVE-2026-21643, memiliki tingkat keparahan tinggi dengan skor CVSS 9.8 berdasarkan penilaian dari Fortinet. Eksploitasi dilakukan melalui permintaan HTTP yang dirancang khusus, memungkinkan eksekusi kode tanpa autentikasi.

Dalam kerentanan SQL Injection tersebut, kelemahan terjadi akibat improper neutralization terhadap elemen khusus dalam perintah SQL, yang dikategorikan dalam CWE-89. Dengan memanfaatkan celah ini, penyerang dapat menyisipkan query berbahaya ke dalam sistem backend, yang pada akhirnya memungkinkan akses tidak sah ke database, manipulasi data, hingga eksekusi perintah sistem.

Fortinet menegaskan bahwa eksploitasi terhadap kerentanan SQL Injection ini juga telah terdeteksi di lingkungan nyata. Hal ini memperkuat urgensi bagi organisasi untuk segera melakukan pembaruan sistem ke versi yang telah diperbaiki. Pengguna FortiClient EMS 7.4.4 disarankan untuk segera melakukan upgrade ke versi 7.4.5 atau yang lebih baru guna menutup celah tersebut. (di konoha keknya tunggu kesebar dulu xixixi)

Selain merilis patch, Fortinet juga memberikan panduan teknis terkait penerapan hotfix. Paket hotfix ini hanya mencakup subset dari binary EMS yang relevan dengan permasalahan tertentu, sehingga dapat mengurangi risiko efek samping yang tidak diinginkan. Pendekatan ini memungkinkan distribusi patch dilakukan dengan cepat tanpa mengganggu stabilitas sistem secara keseluruhan.

Proses penerapan hotfix melibatkan beberapa tahap teknis, termasuk pengunduhan paket dari portal dukungan Fortinet, transfer file ke server EMS menggunakan protokol seperti SCP atau SFTP, serta eksekusi perintah khusus melalui antarmuka command line. Pada lingkungan berbasis Linux atau virtual appliance, administrator perlu mengakses sistem melalui SSH dan menjalankan perintah untuk menerapkan patch secara langsung.

Selama proses instalasi, sistem akan melakukan serangkaian langkah seperti verifikasi checksum, ekstraksi paket, pencadangan file lama, serta penggantian komponen yang terdampak. Dalam beberapa kasus, layanan tertentu seperti apache2 akan dihentikan sementara untuk memastikan integritas proses pembaruan. Selain itu, skrip tambahan dapat dijalankan untuk memperbarui konfigurasi sistem atau melakukan perubahan pada database internal.

Setelah proses selesai, administrator dapat memverifikasi status hotfix melalui perintah khusus yang menampilkan daftar patch yang telah diterapkan. Status “applied” menjadi indikator bahwa pembaruan telah berhasil diinstal dan sistem telah terlindungi dari kerentanan yang ditangani oleh patch tersebut.

Kasus ini kembali menyoroti pentingnya respons cepat terhadap kerentanan yang telah dieksploitasi secara aktif. Dalam banyak insiden, jeda waktu antara publikasi kerentanan dan penerapan patch menjadi faktor kritis yang menentukan tingkat dampak terhadap organisasi. Dengan adanya eksploitasi tanpa autentikasi, risiko terhadap sistem yang belum diperbarui menjadi sangat tinggi.

Di sisi lain, penggunaan hotfix sebagai solusi sementara mencerminkan pendekatan pragmatis dalam manajemen kerentanan. Alih-alih menunggu siklus rilis reguler, vendor dapat memberikan mitigasi cepat untuk menutup celah yang sedang dimanfaatkan. Namun, organisasi tetap disarankan untuk melakukan upgrade ke versi stabil terbaru setelah tersedia, guna memastikan perlindungan jangka panjang.

Dengan dua kerentanan berbeda yang sama-sama memungkinkan eksekusi kode tanpa autentikasi, FortiClient EMS menjadi target yang signifikan dalam lanskap ancaman saat ini. Kombinasi antara access control bypass dan SQL Injection memberikan fleksibilitas bagi penyerang untuk memilih vektor serangan yang paling sesuai dengan kondisi target.

Bagi organisasi yang menggunakan FortiClient EMS sebagai bagian dari infrastruktur keamanan endpoint, langkah mitigasi tidak dapat ditunda. Audit sistem, pembaruan versi, serta pemantauan aktivitas mencurigakan menjadi langkah penting untuk memastikan tidak adanya kompromi lebih lanjut. Dalam konteks serangan yang telah terjadi di alam liar, asumsi bahwa sistem telah menjadi target bukan lagi berlebihan, melainkan pendekatan defensif yang realistis.

Sumber:

FortinetGuard

Tenable

NVD-NIST

CWE-MITRE

36 Paket Berbahaya di NPM Menyamar sebagai Plugin Strapi, Targetkan Infrastruktur Kripto dengan Eksploitasi Redis dan PostgreSQL

Sebuah kampanye berbahaya yang terstruktur dan terarah telah terungkap di ekosistem NPM, di mana sedikitnya 36 paket ditemukan menyamar sebagai plugin untuk Strapi CMS. Paket-paket ini tidak sekadar berisi kode berbahaya biasa, tetapi dirancang dengan berbagai payload kompleks yang mampu mengeksploitasi Redis dan PostgreSQL, mencuri kredensial sensitif, hingga menanam implant persisten pada sistem korban. Temuan ini menunjukkan adanya operasi yang matang dengan tujuan spesifik, yakni menargetkan infrastruktur platform pembayaran berbasis cryptocurrency.

Secara kronologis, aktivitas publikasi paket dimulai dengan akun umar_bektembiev1 yang merilis gelombang awal, termasuk paket seperti strapi-plugin-cron dan varian lain yang memiliki kemampuan eksploitasi tingkat lanjut. Dalam waktu beberapa jam, paket-paket lain menyusul dari akun berbeda seperti umarbek1233, kekylf12, dan tikeqemif26. Pola publikasi yang saling tumpang tindih serta konsistensi teknik serangan menunjukkan bahwa seluruh akun tersebut kemungkinan dikendalikan oleh aktor yang sama.

Setiap paket membawa fungsi spesifik dalam rantai serangan. Misalnya, strapi-plugin-cron memanfaatkan teknik eksploitasi Redis melalui perintah CONFIG SET untuk menyuntikkan entri crontab, menulis webshell berbasis PHP, serta menjalankan reverse shell berbasis Node.js. Selain itu, paket ini juga mencoba menyisipkan kunci SSH ke dalam authorized_keys serta membaca data mentah dari disk menggunakan kombinasi mknod dan dd untuk mengekstrak informasi sensitif.

Paket lain seperti strapi-plugin-config memperluas kemampuan serangan dengan mencoba melakukan escape dari container Docker melalui analisis overlay filesystem. Dengan menemukan direktori upperdir, payload dapat ditulis ke lokasi yang dapat diakses host. Teknik ini memungkinkan penyerang melampaui isolasi container dan mengakses sistem yang lebih luas. Tidak hanya itu, paket ini juga membaca data mentah untuk menemukan kredensial Elasticsearch serta wallet kripto, kemudian menyisipkan hook berbahaya ke dalam node_modules.

Serangkaian paket lain seperti strapi-plugin-server, strapi-plugin-database, hingga strapi-plugin-hooks difokuskan pada eksekusi reverse shell secara langsung. Menariknya, payload ini menggunakan mekanisme gating berbasis hostname, hanya aktif jika sistem target mengandung string tertentu seperti “prod”. Hal ini menunjukkan bahwa serangan dirancang untuk menghindari deteksi di lingkungan pengujian atau sandbox. Reverse shell dijalankan melalui bash pada port 4444 dan Python pada port 8888, serta dapat dipicu melalui Redis.

Eksfiltrasi data menjadi komponen utama dalam kampanye ini. Paket seperti strapi-plugin-events dan strapi-plugin-monitor dirancang untuk mengumpulkan kredensial dalam skala besar. Mereka menelusuri file .env, variabel lingkungan, konfigurasi Strapi, serta file sistem untuk menemukan private key, token Kubernetes, dan informasi jaringan. Data yang dikumpulkan mencakup koneksi PostgreSQL, isi Redis, hingga informasi Docker dan Kubernetes, yang semuanya dikirim ke server command-and-control menggunakan HTTP tanpa enkripsi.

Teknik eksfiltrasi yang digunakan juga menunjukkan tingkat kecanggihan tertentu. Salah satu varian payload menerapkan metode chunking, memecah data besar menjadi segmen 50KB untuk menghindari batasan ukuran atau deteksi. Setiap bagian dikirim dengan penomoran tertentu, memungkinkan rekonstruksi data secara lengkap di sisi server penyerang. Jalur komunikasi C2 menggunakan path berbasis routing seperti /c2/<id>/env untuk file lingkungan atau /c2/<id>/redis-full untuk dump Redis.

Eksploitasi terhadap PostgreSQL dilakukan secara langsung dalam paket seperti strapi-plugin-seed. Dengan menggunakan kredensial hardcoded, paket ini dapat terhubung ke database, mengekstrak tabel yang berkaitan dengan transaksi, wallet, dan deposit, serta melakukan enumerasi terhadap seluruh database dalam server. Bahkan terdapat probing spesifik terhadap nama database seperti guardarian, guardarian_payments, exchange, dan custody, yang memperkuat indikasi bahwa serangan ini menargetkan platform tertentu secara spesifik.

Aspek persistence juga menjadi perhatian utama dalam kampanye ini. Versi tertentu dari strapi-plugin-api menanamkan agen C2 persisten ke dalam sistem dengan menulis file seperti /tmp/.node_gc.js dan menjalankannya secara terpisah. Selain itu, entri crontab ditambahkan untuk memastikan payload tetap aktif meskipun sistem direstart. Teknik fileless execution juga digunakan melalui perintah node -e, yang memungkinkan eksekusi kode tanpa meninggalkan artefak file yang jelas.

Semua data yang dicuri, termasuk private key, mnemonic wallet, dan kredensial lainnya, dikirim melalui HTTP ke alamat IP 144.31.107.231 pada port 9999 tanpa enkripsi. Hal ini berarti bahwa data sensitif dapat dengan mudah diintersepsi jika lalu lintas jaringan dipantau, namun juga menunjukkan bahwa fokus utama penyerang adalah kecepatan dan volume eksfiltrasi, bukan stealth tingkat jaringan.

Indikasi kuat bahwa ini adalah penargetan yang dilakukan terlihat dari referensi spesifik terhadap infrastruktur tertentu dalam payload, termasuk path direktori, nama layanan, serta kredensial database yang sudah diketahui sebelumnya. Hal ini menandakan bahwa penyerang kemungkinan telah memiliki akses awal atau intelijen sebelumnya terhadap target, bukan sekadar melakukan serangan acak terhadap ekosistem NPM.

Hal ini juga bersamaan dengan lonjakan serangan yang kemudian menargetkan ekosistem sumber terbuka atau Open Source melalui rantai serangan:

1. user atau pengguna GitHub dengan nama ezmtebo teridentifikasi mengirim lebih dari 256 pull request yang telah disisipi payload pencurian kredensial. Teknik yang digunakan memanfaatkan log CI/CD serta komentar pada pull request untuk mengekstrak secret dari lingkungan pengembangan tanpa memicu kecurigaan langsung.

2. Organisasi GitHub dev-protocol dilaporkan mengalami pengambilalihan akun dan dimanfaatkan untuk mendistribusikan bot trading Polymarket berbahaya. Paket tersebut mengandalkan dependency npm dengan teknik typosquatting untuk mencuri private key wallet serta membuka akses backdoor melalui SSH.

3. Paket Emacs kubernetes-el/kubernetes-el menjadi korban kompromi melalui eksploitasi celah pada workflow GitHub Actions yang dikenal sebagai Pwn Request. Serangan ini memungkinkan pelaku mendapatkan GITHUB_TOKEN milik repository, yang kemudian digunakan untuk menyisipkan kode destruktif ke dalam proyek.

4. Workflow GitHub Actions milik proyek xygeni/xygeni-action berhasil ditembus setelah kredensial maintainer dicuri. Akses ini dimanfaatkan untuk menanamkan backdoor berupa reverse shell. Setelah insiden tersebut, pihak Xygeni telah melakukan penguatan kontrol keamanan pada sistem mereka.

5. Paket npm mgc disusupi melalui pengambilalihan akun maintainer, yang kemudian digunakan untuk merilis versi berbahaya. Versi ini mengandung dropper yang mengunduh payload sesuai platform, yakni trojan berbasis Python untuk Linux dan varian PowerShell untuk Windows. Pola serangan ini memiliki kemiripan dengan kampanye supply chain sebelumnya yang menargetkan Axios dan dikaitkan dengan aktor UNC1069 yang di sinyalir dari Korea Utara.

6. Sebuah paket npm berbahaya dengan nama express-session-js ditemukan meniru paket populer "express-session". Paket ini berfungsi sebagai dropper yang mengunduh remote access trojan (RAT), membuka akses jarak jauh ke sistem korban.

7. Paket PyPI bittensor-wallet versi 4.0.2 diketahui telah dimodifikasi untuk menyisipkan backdoor. Payload ini secara khusus dirancang untuk mengekstrak private key dari wallet pengguna.

8. Paket npm @azure/service-bus-node mengandung komponen berbahaya berupa dropper yang mengambil RAT dari layanan JSON Keeper. Malware ini digunakan untuk mencuri data sekaligus mempertahankan akses persisten dengan membangun koneksi ke alamat IP 216.126.237[.]71 melalui library Socket.IO.

Dampak dari serangan ini sangat signifikan. Sistem yang terinfeksi dapat mengalami kompromi penuh, termasuk akses root, kebocoran data sensitif, serta pengambilalihan layanan. Oleh karena itu, setiap pengguna yang pernah menginstal paket-paket tersebut disarankan untuk menganggap sistem mereka telah sepenuhnya dikompromikan.

Langkah mitigasi yang direkomendasikan mencakup rotasi seluruh kredensial yang mungkin terekspos, termasuk password database, API key, dan JWT secret. Password PostgreSQL yang digunakan dalam payload harus segera diganti jika masih digunakan. Token Kubernetes juga perlu dicabut untuk mencegah penyalahgunaan lebih lanjut. Selain itu, sistem harus diperiksa untuk mekanisme persistence seperti file mencurigakan di direktori /tmp, entri crontab yang tidak dikenal, serta proses node yang berjalan tanpa konteks jelas.

Audit terhadap Redis juga diperlukan, khususnya dengan memeriksa konfigurasi direktori melalui perintah CONFIG GET dir untuk memastikan tidak ada manipulasi. Penggunaan alat keamanan seperti pemindai dependency dapat membantu mendeteksi paket berbahaya sebelum mencapai lingkungan produksi. Pencegahan di tahap instalasi menjadi krusial mengingat serangan ini memanfaatkan kepercayaan terhadap ekosistem open-source.

Kasus ini menegaskan kembali bahwa supply chain attack di ekosistem JavaScript masih menjadi ancaman nyata, terutama bagi proyek yang mengandalkan banyak dependency eksternal. Dengan kompleksitas payload dan tingkat target yang spesifik, kampanye ini menunjukkan evolusi serangan yang tidak lagi bersifat oportunistik, melainkan dirancang dengan presisi tinggi untuk mencapai tujuan tertentu.

Sumber:

safedep

stepsecurity

xygeni

PyPi

cyberandramen

Baca Juga:

Claude Code Repo

Serangan Supply Chain Trivy: Build GitHub Disusupi, Infostealer Curi Kredensial Cloud dan Developer

Sebuah insiden keamanan serius menargetkan proyek open-source Trivy, ketika pelaku ancaman berhasil menyusupi proses build di GitHub dan mendistribusikan pembaruan berbahaya yang menyisipkan malware jenis infostealer. Serangan ini diklasifikasikan sebagai supply chain attack, di mana pelaku tidak langsung menyerang target akhir, melainkan memanfaatkan jalur distribusi perangkat lunak untuk menyebarkan payload berbahaya ke pengguna yang mempercayai sumber resmi.

Dalam insiden ini, pelaku mendorong tag berbahaya yang menyertakan tautan ke binary payload yang belum dianalisis sepenuhnya. Namun, indikator awal menunjukkan bahwa payload tersebut dirancang untuk mencuri informasi sensitif dari lingkungan pengembangan maupun pipeline otomatis. Hingga detail lengkap tersedia, insiden ini diperlakukan sebagai ancaman dengan tingkat kritis mengingat potensi dampaknya yang luas terhadap pengguna Trivy, termasuk organisasi yang mengandalkan alat tersebut dalam proses keamanan aplikasi.

Salah satu teknik yang digunakan dalam serangan ini adalah pembuatan domain tiruan yang menyerupai domain resmi. Pelaku menggunakan domain scan[.]aquasecurtiy[.]org, yang secara visual sangat mirip dengan domain milik Aqua Security. Dari domain tersebut, proses build yang telah dikompromikan menarik empat file berbahaya berbasis Golang. Teknik typosquatting seperti ini sering kali berhasil karena perbedaan kecil pada penulisan domain sulit dikenali secara cepat, terutama dalam proses otomatis seperti CI/CD.

Malware yang disisipkan dalam rantai serangan ini diidentifikasi oleh pelaku sebagai “TeamPCP Cloud stealer”. Fungsinya tidak berhenti pada satu tahap. Setelah dijalankan, malware mencoba mengambil payload tambahan dari domain lain yang juga berada di bawah kendali pelaku. Jika upaya tersebut gagal, malware akan beralih ke endpoint alternatif untuk mendapatkan instruksi atau payload tambahan, menunjukkan adanya mekanisme redundansi dalam infrastruktur command and control.

Kemampuan utama malware ini terletak pada pengumpulan kredensial dan data sensitif. Dalam lingkungan CI/CD, malware memanfaatkan akses ke proses runner dengan membaca memori dari Runner.Worker melalui jalur /proc/<pid>/mem. Teknik ini memungkinkan ekstraksi data yang sedang diproses, termasuk token, kunci API, dan kredensial lainnya yang biasanya hanya tersedia di memori selama runtime. Selain itu, malware juga melakukan pemindaian sistem file untuk mencari kunci SSH, kredensial cloud seperti AWS, GCP, dan Azure, token Kubernetes, serta dompet cryptocurrency. Lebih dari 50 jalur file sensitif menjadi target dalam proses ini.

Serangan tidak terbatas pada pipeline otomatis. Versi binary Trivy yang telah dimodifikasi, khususnya versi 0.69.4, juga dirancang untuk mencuri data dari mesin developer. Binary tersebut mengumpulkan variabel lingkungan, memetakan antarmuka jaringan, dan mengekstrak informasi yang dapat digunakan untuk eskalasi serangan lebih lanjut. Hal ini memperluas cakupan dampak dari sekadar lingkungan build menjadi endpoint individu yang digunakan oleh pengembang.

Data yang berhasil dikumpulkan tidak langsung dikirim dalam bentuk mentah. Malware menggunakan skema enkripsi hybrid yang menggabungkan AES-256-CBC dan RSA-4096 untuk mengamankan data sebelum dikirim ke server command and control. Data tersebut dikemas dalam arsip bernama tpcp.tar.gz dan dikirim ke domain yang telah ditiru sebelumnya. Pendekatan ini menunjukkan tingkat perencanaan yang matang, karena data yang dienkripsi sulit dianalisis jika tertangkap dalam lalu lintas jaringan.

Menariknya, varian malware yang berjalan di GitHub Actions memiliki metode eksfiltrasi tambahan yang tidak lazim. Alih-alih hanya mengirim data ke server eksternal, malware dapat mengunggah data yang dicuri ke repository dalam akun GitHub korban, dengan nama tpcp-docs. Teknik ini memanfaatkan kredensial yang sudah tersedia di runner, sehingga tidak memerlukan koneksi keluar yang mencurigakan. Pendekatan ini juga menyulitkan deteksi karena aktivitas terlihat seperti operasi normal dalam konteks GitHub.

Selain pencurian data, malware juga memiliki mekanisme persistensi ketika dijalankan di luar lingkungan CI/CD. Pada mesin developer, malware menjatuhkan skrip Python ke dalam direktori konfigurasi pengguna dan mendaftarkannya sebagai unit systemd agar dapat berjalan secara terus-menerus. Skrip ini secara berkala menghubungi server command and control untuk mengambil payload tambahan, memungkinkan pelaku mempertahankan akses jangka panjang ke sistem yang telah terinfeksi.

Insiden ini menyoroti risiko inheren dalam rantai pasok perangkat lunak, terutama pada proyek open-source yang digunakan secara luas dalam pipeline keamanan dan DevOps. Ketika alat yang dirancang untuk meningkatkan keamanan justru menjadi vektor serangan, dampaknya dapat meluas dengan cepat ke berbagai organisasi yang mengandalkan alat tersebut dalam proses otomatis mereka.

Dari sudut pandang operasional, serangan ini memperlihatkan bagaimana kombinasi beberapa teknik typosquatting domain, kompromi pipeline build, pencurian kredensial dari memori, serta eksfiltrasi data terenkripsi dapat digabungkan menjadi satu rantai serangan yang efektif. Kompleksitas ini juga menyulitkan deteksi dini, terutama jika organisasi tidak memiliki visibilitas penuh terhadap aktivitas dalam pipeline CI/CD mereka.

Bagi praktisi keamanan, insiden ini menjadi pengingat bahwa kepercayaan terhadap sumber resmi harus tetap diimbangi dengan verifikasi tambahan. Validasi checksum binary, pembatasan akses kredensial dalam pipeline, serta pemantauan aktivitas anomali di lingkungan build menjadi langkah penting untuk mengurangi risiko serupa. Sementara itu, bagi developer, penting untuk memahami bahwa alat yang digunakan dalam proses pengembangan juga dapat menjadi target serangan.

Serangan terhadap Trivy ini memperlihatkan bahwa supply chain bukan lagi target sekunder, melainkan jalur utama bagi pelaku ancaman untuk menjangkau banyak korban sekaligus. Dengan memanfaatkan satu titik distribusi, pelaku dapat menyebarkan malware ke berbagai lingkungan tanpa perlu menargetkan masing-masing sistem secara langsung. Dalam konteks ini, keamanan pipeline dan integritas build menjadi komponen krusial yang tidak dapat diabaikan.

Celah Kritis pyLoad Buka Jalan RCE Tanpa Autentikasi: Analisis Bug storage_folder dan Risiko Session Poisoning

Kerentanan baru pada aplikasi manajemen unduhan pyLoad mengungkap kelemahan serius yang memungkinkan eksekusi kode arbitrer tanpa autentikasi melalui mekanisme yang tidak biasa, yaitu manipulasi direktori penyimpanan dan penyalahgunaan sistem sesi berbasis filesystem. Celah ini merupakan kelanjutan dari perbaikan yang tidak lengkap terhadap kerentanan sebelumnya, CVE-2026-33509, dan menunjukkan bagaimana kontrol akses yang tidak komprehensif dapat membuka jalur eksploitasi baru yang signifikan.

Masalah utama berakar pada opsi konfigurasi bernama storage_folder yang tidak dimasukkan dalam daftar parameter sensitif yang dibatasi hanya untuk admin. Dalam implementasi sebelumnya, pengembang telah memperkenalkan mekanisme pembatasan melalui sebuah set bernama ADMIN_ONLY_OPTIONS untuk mencegah pengguna non-admin mengubah konfigurasi kritikal. Namun, storage_folder tidak termasuk dalam daftar tersebut. Akibatnya, pengguna dengan kombinasi izin tertentu masih dapat mengubah lokasi penyimpanan file unduhan tanpa pembatasan yang memadai.

Dalam konteks ini, eksploitasi membutuhkan seorang pengguna non-admin yang memiliki dua jenis izin, yaitu SETTINGS dan ADD. Kedua izin ini bersifat independen dan dapat diberikan secara bersamaan oleh administrator. Dengan izin SETTINGS, pengguna dapat mengubah konfigurasi storage_folder. Sementara itu, izin ADD memungkinkan pengguna untuk menambahkan URL unduhan. Kombinasi ini menjadi fondasi utama dalam rantai serangan.

Eksploitasi dimulai dengan mengarahkan storage_folder ke direktori yang digunakan oleh sistem sesi Flask, yang secara default berada di jalur seperti /tmp/pyLoad/flask dalam deployment berbasis Docker. Jalur ini lolos dari mekanisme validasi karena tidak berada dalam direktori yang dibatasi seperti PKGDIR atau userdir. Validasi yang ada hanya memeriksa apakah path hasil realpath berada dalam dua direktori tersebut, sehingga direktori sesi Flask tetap dapat diakses.

Selanjutnya, penyerang menghitung nama file sesi yang akan ditargetkan. Sistem sesi Flask yang digunakan oleh pyLoad dikonfigurasi dengan SESSION_TYPE = "filesystem" dan memanfaatkan cachelib FileSystemCache untuk menyimpan sesi. File sesi disimpan menggunakan hash MD5 dari string yang menggabungkan prefix default "session:" dengan session_id. Dengan mengetahui pola ini, penyerang dapat menentukan nama file sesi yang valid secara deterministik.

Tahap berikutnya melibatkan pembuatan payload berbahaya menggunakan serialisasi Python melalui modul pickle. Payload ini dirancang untuk mengeksekusi perintah sistem ketika dide-serialisasi. Dalam contoh yang diuji, payload tersebut menulis hasil perintah id ke dalam file tertentu sebagai bukti eksekusi. File payload kemudian di-host oleh penyerang dan diunduh oleh pyLoad melalui mekanisme normal unduhan, yang menyimpannya ke direktori storage_folder yang telah dimanipulasi, yaitu direktori sesi Flask.

Yang membuat kerentanan ini semakin signifikan adalah tahap akhir eksploitasi yang tidak memerlukan autentikasi. Setelah file sesi berbahaya berhasil ditempatkan di direktori yang tepat, penyerang hanya perlu mengirimkan permintaan HTTP dengan cookie sesi yang sesuai. Ketika aplikasi memproses permintaan tersebut, Flask akan memuat file sesi berdasarkan session_id yang diberikan. Proses ini melibatkan deserialisasi menggunakan pickle.load(), yang secara langsung mengeksekusi payload berbahaya.

Hasil akhirnya adalah eksekusi kode arbitrer dengan hak akses proses pyLoad. Dalam pengujian yang dilakukan pada image Docker lscr.io/linuxserver/pyload-ng:latest, eksploitasi ini berhasil dijalankan dan menunjukkan bahwa penyerang dapat menjalankan perintah sistem, membaca variabel lingkungan, mengakses sistem file, dan berpotensi melakukan pivot ke sumber daya jaringan lain. Fakta bahwa trigger akhir tidak memerlukan autentikasi meningkatkan tingkat risiko secara signifikan.

Dari perspektif desain sistem, kerentanan ini menunjukkan kelemahan dalam pendekatan validasi path yang hanya berfokus pada pembatasan direktori tertentu tanpa mempertimbangkan direktori sensitif lain yang digunakan secara internal oleh aplikasi atau dependensinya. Dalam kasus ini, direktori sesi Flask menjadi target yang ideal karena file di dalamnya secara otomatis diproses oleh aplikasi.

Selain itu, penggunaan pickle untuk deserialisasi data yang tidak terpercaya merupakan praktik yang dikenal berisiko tinggi. Pickle tidak dirancang untuk keamanan dan dapat mengeksekusi kode arbitrer selama proses deserialisasi. Ketika digabungkan dengan kemampuan menulis file ke lokasi yang diproses otomatis, risiko eksploitasi meningkat secara drastis.

Sebagai langkah mitigasi, disarankan untuk menambahkan storage_folder ke dalam daftar ADMIN_ONLY_OPTIONS agar hanya dapat dimodifikasi oleh administrator. Alternatif lain adalah memperluas validasi path untuk mencegah penulisan ke direktori sementara yang secara otomatis dikonsumsi oleh aplikasi, termasuk direktori sesi Flask, cache bytecode Jinja, dan direktori sementara pyLoad. Perbaikan tambahan juga mencakup koreksi nama opsi konfigurasi yang sebelumnya salah, seperti ssl_cert dan ssl_key yang seharusnya menggunakan nama ssl_certfile dan ssl_keyfile.

Kasus ini menyoroti pentingnya pendekatan holistik dalam pengamanan aplikasi, terutama dalam sistem yang memungkinkan konfigurasi dinamis oleh pengguna. Kontrol akses yang tidak lengkap, validasi input yang terbatas, dan penggunaan mekanisme deserialisasi yang tidak aman dapat saling berinteraksi dan menciptakan jalur eksploitasi yang kompleks namun efektif.

Bagi praktisi keamanan dan developer, temuan ini menjadi pengingat bahwa kerentanan tidak selalu berasal dari satu kesalahan tunggal, melainkan dari kombinasi beberapa asumsi yang tidak divalidasi secara menyeluruh. Dalam konteks pyLoad, celah ini muncul dari interaksi antara kontrol akses, manajemen path, dan mekanisme penyimpanan sesi. Tanpa evaluasi menyeluruh terhadap bagaimana komponen-komponen ini saling berinteraksi, risiko seperti ini dapat dengan mudah terlewatkan.

Dengan semakin banyaknya aplikasi yang mengandalkan komponen pihak ketiga seperti Flask dan cachelib, pemahaman terhadap bagaimana komponen tersebut bekerja secara internal menjadi semakin penting. Kerentanan ini menunjukkan bahwa bahkan konfigurasi default yang tampak aman dapat menjadi titik lemah jika tidak dipertimbangkan dalam model ancaman secara menyeluruh.

References:

NVD-NIST

Github Rep

Kerentanan Kritis CVE-2026-5281 di Google Chrome: Bug Use-After-Free Picu Risiko Eksekusi Kode Jarak Jauh

Kerentanan baru dengan kode CVE-2026-5281 ditemukan pada browser populer Google Chrome, menyoroti kembali risiko serius yang dapat muncul dari kesalahan manajemen memori dalam perangkat lunak modern. Bug ini diklasifikasikan sebagai use-after-free, sebuah jenis kerentanan yang terjadi ketika program masih mencoba mengakses memori yang telah dibebaskan. Dalam konteks ini, celah tersebut berada pada komponen Dawn di Chrome dan berpotensi dimanfaatkan untuk eksekusi kode arbitrer oleh penyerang.

Berdasarkan informasi dari National Vulnerability Database (NVD), kerentanan ini memengaruhi versi Chrome sebelum 146.0.7680.178. Eksploitasi hanya dapat dilakukan jika penyerang telah lebih dulu berhasil mengompromikan proses renderer, yang merupakan bagian dari arsitektur sandbox Chrome yang bertugas menangani konten web. Setelah mendapatkan akses tersebut, penyerang dapat menyisipkan halaman HTML yang dirancang secara khusus untuk memicu kondisi use-after-free dan mengeksekusi kode berbahaya di sistem target.

Meskipun analisis resmi dari NVD terkait skor CVSS belum tersedia pada saat laporan ini ditulis, data dari sumber lain, termasuk Cybersecurity and Infrastructure Security Agency, memberikan gambaran tingkat keparahan yang signifikan. Skor CVSS v3.1 tercatat sebesar 8.8 dengan kategori High. Vektor serangan menunjukkan bahwa eksploitasi dapat dilakukan melalui jaringan tanpa memerlukan autentikasi, dengan kompleksitas rendah, namun tetap membutuhkan interaksi pengguna. Dampak dari kerentanan ini mencakup aspek kerahasiaan, integritas, dan ketersediaan sistem secara menyeluruh.

Secara teknis, kerentanan ini termasuk dalam kategori Common Weakness Enumeration dengan ID CWE-416, yang merujuk pada use-after-free. Jenis bug ini sering kali menjadi target eksploitasi tingkat lanjut karena dapat memungkinkan manipulasi memori secara langsung. Dalam banyak kasus, eksploitasi use-after-free digunakan sebagai langkah awal untuk mencapai remote code execution (RCE), terutama jika dikombinasikan dengan teknik bypass sandbox atau privilege escalation.

Yang menarik, eksploitasi terhadap CVE-2026-5281 tidak berdiri sendiri. Penyerang harus terlebih dahulu melewati lapisan perlindungan awal Chrome dengan mengompromikan renderer process. Ini menunjukkan bahwa serangan kemungkinan melibatkan rantai eksploitasi yang lebih kompleks, bukan sekadar satu celah tunggal. Namun demikian, setelah tahap awal ini berhasil, dampaknya bisa sangat signifikan karena memungkinkan kontrol penuh terhadap proses yang berjalan.

Kerentanan ini berdampak pada berbagai sistem operasi yang menjalankan Chrome, termasuk macOS, Linux, dan Windows. Hal ini menegaskan bahwa cakupan risiko tidak terbatas pada satu platform tertentu, melainkan bersifat lintas ekosistem. Pengguna individu, organisasi, hingga lingkungan enterprise yang mengandalkan Chrome sebagai browser utama berpotensi terdampak jika tidak segera melakukan pembaruan.

Sebagai respons terhadap temuan ini, vendor telah merilis pembaruan keamanan yang memperbaiki kerentanan tersebut pada versi 146.0.7680.178 dan yang lebih baru. Otoritas keamanan siber juga merekomendasikan agar pengguna segera mengaplikasikan patch yang tersedia. Dalam beberapa kasus, jika mitigasi tidak dapat diterapkan, langkah alternatif seperti menghentikan penggunaan produk menjadi pertimbangan, terutama dalam lingkungan dengan tingkat risiko tinggi.

Selain itu, CVE-2026-5281 juga telah masuk dalam daftar prioritas dengan tenggat waktu mitigasi yang relatif singkat, yakni hingga pertengahan April 2026. Ini menunjukkan bahwa kerentanan tersebut dianggap memiliki potensi dampak yang signifikan dan membutuhkan penanganan segera. Praktik terbaik yang disarankan mencakup penerapan patch, pemantauan aktivitas sistem, serta evaluasi terhadap kemungkinan adanya indikasi kompromi.

Dari perspektif keamanan yang lebih luas, kasus ini kembali menegaskan pentingnya pengelolaan memori yang aman dalam pengembangan perangkat lunak. Use-after-free bukanlah jenis kerentanan baru, namun tetap relevan dan berbahaya karena kompleksitasnya serta potensi eksploitasi yang tinggi. Dalam ekosistem browser modern yang menangani berbagai jenis konten dinamis, kesalahan kecil dalam pengelolaan resource dapat membuka celah besar bagi penyerang.

Bagi praktisi keamanan, CVE-2026-5281 memberikan contoh nyata bagaimana kerentanan pada layer rendah seperti manajemen memori dapat berdampak langsung pada keamanan pengguna akhir. Sementara itu, bagi developer, ini menjadi pengingat bahwa pendekatan defensif dalam pengelolaan memori, termasuk penggunaan bahasa pemrograman yang lebih aman atau penerapan mekanisme proteksi tambahan, menjadi semakin penting.

Dengan semakin meningkatnya kompleksitas aplikasi web dan browser, potensi munculnya kerentanan serupa kemungkinan akan tetap ada. Oleh karena itu, kombinasi antara pembaruan rutin, monitoring aktif, dan kesadaran terhadap ancaman menjadi kunci dalam mengurangi risiko eksploitasi di dunia nyata. CVE-2026-5281 bukan hanya sekadar bug teknis, tetapi juga refleksi dari tantangan berkelanjutan dalam menjaga keamanan perangkat lunak yang digunakan secara luas.

Indonesia Siapkan Strategi “Sign and Prepare” untuk Konvensi PBB Anti Kejahatan Siber

Pemerintah Indonesia melalui Kementerian Koordinator Bidang Politik dan Keamanan menggelar rapat koordinasi tingkat nasional guna menentukan arah kebijakan strategis terkait penandatanganan dan ratifikasi Konvensi Perserikatan Bangsa-Bangsa Melawan Kejahatan Siber atau UN Convention against Cybercrime. Pertemuan yang berlangsung di Bogor pada Kamis, 12 Maret 2026 ini menjadi bagian dari langkah pemerintah untuk memastikan posisi Indonesia dalam arsitektur tata kelola siber global tetap relevan dan berdaulat.

Rapat tersebut dipimpin oleh Adi Winarso selaku Asisten Deputi Koordinasi Kerja Sama Multilateral Kemenko Polkam. Dalam pembukaan, ia menegaskan bahwa Indonesia berada dalam posisi strategis secara diplomatik karena telah memainkan peran penting sebagai Rapporteur dalam Komite Ad Hoc PBB sejak 2019. Peran ini tidak hanya mencerminkan tingkat kepercayaan komunitas internasional, tetapi juga menempatkan Indonesia sebagai aktor kunci dalam proses perumusan norma global terkait kejahatan siber.

Menurut Adi, posisi tersebut membawa konsekuensi yang tidak ringan. Indonesia dihadapkan pada kebutuhan untuk segera menentukan sikap sebelum tenggat waktu penandatanganan konvensi berakhir pada 31 Desember 2026. Keterlambatan dalam mengambil keputusan dinilai dapat berdampak langsung terhadap posisi tawar Indonesia di tingkat global. Jika melewati batas waktu tersebut, Indonesia hanya dapat bergabung melalui mekanisme aksesi, yang secara praktis menempatkan negara sebagai penerima aturan yang telah ditentukan oleh pihak lain, bukan sebagai pihak yang ikut membentuknya.

Dalam konteks ini, Kemenko Polkam mengusulkan pendekatan kebijakan yang disebut sebagai strategi “Sign and Prepare”. Strategi ini dirancang sebagai solusi pragmatis untuk menyeimbangkan kebutuhan diplomasi internasional dengan kesiapan regulasi domestik. Melalui pendekatan ini, Indonesia akan melakukan penandatanganan konvensi sebagai bentuk komitmen politik di forum internasional sebelum akhir 2026, sembari memberikan waktu bagi kementerian dan lembaga terkait untuk menyelaraskan kerangka hukum nasional sebelum proses ratifikasi dilakukan.

Langkah harmonisasi regulasi menjadi salah satu isu krusial yang dibahas dalam rapat tersebut. Penyesuaian diperlukan agar ketentuan dalam konvensi internasional dapat diintegrasikan secara efektif ke dalam sistem hukum nasional. Hal ini mencakup sinkronisasi dengan Kitab Undang-Undang Hukum Pidana yang baru, Undang-Undang Pelindungan Data Pribadi, serta rencana revisi Kitab Undang-Undang Hukum Acara Pidana, khususnya dalam aspek pembuktian digital lintas yurisdiksi. Tantangan utama terletak pada bagaimana memastikan bahwa standar internasional dapat diadopsi tanpa mengorbankan prinsip kedaulatan hukum nasional.

Selain aspek hukum domestik, diskusi juga menyoroti dimensi geopolitik ruang siber yang semakin kompleks. Narasumber dari Kementerian Luar Negeri Republik Indonesia, termasuk perwakilan Direktorat Keamanan Internasional dan Perlucutan Senjata serta Direktorat Hukum dan Perjanjian Politik, Keamanan, dan Kewilayahan, memaparkan dinamika global yang memengaruhi pembentukan konvensi tersebut. Mereka menekankan bahwa ruang siber kini menjadi arena kompetisi kepentingan antarnegara, sehingga setiap keputusan yang diambil harus mempertimbangkan implikasi jangka panjang terhadap posisi Indonesia dalam ekosistem global.

Dalam pemaparan tersebut, dibahas pula prosedur hukum internasional yang harus ditempuh agar Indonesia dapat melakukan penandatanganan pada momentum strategis, termasuk di Markas Besar PBB di New York. Momentum ini dinilai penting tidak hanya dari sisi simbolik, tetapi juga sebagai sarana untuk memperkuat legitimasi Indonesia sebagai negara yang aktif berkontribusi dalam pembentukan norma global terkait keamanan siber.

Rapat koordinasi ini melibatkan berbagai pemangku kepentingan lintas sektor. Hadir dalam forum tersebut perwakilan dari sejumlah institusi strategis, termasuk Kejaksaan Agung Republik Indonesia, Mahkamah Agung Republik Indonesia, Badan Siber dan Sandi Negara, serta Badan Intelijen Negara. Selain itu, partisipasi juga datang dari aparat penegak hukum seperti Mabes Polri, serta lembaga pengawas dan regulator seperti PPATK dan OJK. Kehadiran berbagai pihak ini mencerminkan bahwa isu kejahatan siber tidak lagi terbatas pada domain teknis, melainkan telah menjadi persoalan lintas sektor yang mencakup aspek hukum, ekonomi, dan keamanan nasional.

Koordinasi lintas institusi menjadi kunci dalam memastikan bahwa kebijakan yang diambil bersifat komprehensif dan implementatif. Setiap lembaga memiliki perspektif dan kepentingan yang berbeda, mulai dari penegakan hukum, perlindungan data, hingga stabilitas sistem keuangan. Oleh karena itu, forum seperti ini menjadi ruang penting untuk menyatukan pandangan dan merumuskan langkah yang terintegrasi.

Hasil dari rapat koordinasi ini akan dirumuskan menjadi rekomendasi kebijakan yang akan disampaikan kepada menteri terkait oleh Menko Polkam. Rekomendasi tersebut diharapkan dapat menjadi dasar dalam pengambilan keputusan strategis pemerintah, khususnya dalam menentukan waktu dan mekanisme penandatanganan konvensi. Lebih jauh, langkah ini juga diharapkan mampu memastikan bahwa partisipasi Indonesia dalam konvensi tersebut benar-benar memberikan manfaat nyata bagi masyarakat.

Salah satu tujuan utama dari keterlibatan Indonesia dalam Konvensi PBB Melawan Kejahatan Siber adalah untuk meningkatkan kapasitas dalam menghadapi ancaman kejahatan transnasional. Fenomena seperti judi online, penipuan daring, dan berbagai bentuk kejahatan digital lainnya terus berkembang dengan memanfaatkan celah lintas batas negara. Tanpa kerja sama internasional yang efektif, penegakan hukum terhadap kejahatan semacam ini akan menghadapi kendala signifikan, terutama dalam hal yurisdiksi dan pertukaran bukti digital.

Namun demikian, pemerintah juga menekankan pentingnya menjaga keseimbangan antara penegakan hukum dan perlindungan hak asasi manusia. Setiap kebijakan yang diambil harus memastikan bahwa upaya pemberantasan kejahatan siber tidak mengorbankan kebebasan sipil dan privasi individu. Prinsip ini menjadi bagian integral dari posisi Indonesia dalam berbagai forum internasional, termasuk dalam pembahasan konvensi ini.

Di sisi lain, isu kedaulatan digital juga menjadi perhatian utama. Dalam konteks global yang semakin terhubung, negara-negara menghadapi tantangan untuk mempertahankan kontrol atas data dan infrastruktur digital mereka. Konvensi internasional seperti ini berpotensi memengaruhi bagaimana data lintas negara diakses dan digunakan, sehingga diperlukan kehati-hatian dalam menyusun komitmen internasional.

Dengan tenggat waktu yang semakin dekat, keputusan Indonesia terkait penandatanganan Konvensi PBB Melawan Kejahatan Siber akan menjadi indikator penting arah kebijakan nasional di bidang keamanan digital. Strategi “Sign and Prepare” yang diusulkan mencerminkan upaya untuk tidak hanya merespons tekanan waktu, tetapi juga memastikan bahwa setiap langkah yang diambil didasarkan pada kesiapan yang matang.

Ke depan, efektivitas implementasi kebijakan ini akan sangat bergantung pada konsistensi koordinasi antar lembaga serta kemampuan pemerintah dalam menerjemahkan komitmen internasional ke dalam regulasi yang operasional. Dalam lanskap ancaman siber yang terus berkembang, pendekatan yang adaptif dan berbasis kolaborasi menjadi faktor penentu dalam menjaga keamanan dan kedaulatan digital Indonesia.

CVE-2026-2699 dan CVE-2026-2701: Eksploitasi Kritis ShareFile Memungkinkan RCE Tanpa Autentikasi

Peneliti keamanan dari watchTowr Labs mengungkap rantai eksploitasi kritis yang menargetkan ShareFile Storage Zone Controller milik Progress Software, sebuah komponen on-premises yang banyak digunakan sebagai gateway berbagi file di lingkungan enterprise dan sektor yang diatur secara ketat. Temuan ini mengungkap dua kerentanan dengan dampak serius yang memungkinkan penyerang mendapatkan kontrol penuh atas server tanpa memerlukan autentikasi sama sekali.

Kerentanan tersebut dilacak sebagai CVE-2026-2699 dan CVE-2026-2701. Kombinasi keduanya membuka jalur eksploitasi yang memungkinkan Remote Code Execution (RCE) secara langsung, menjadikan sistem yang rentan sebagai target bernilai tinggi dalam lanskap ancaman saat ini.

Platform Managed File Transfer (MFT) dalam beberapa tahun terakhir telah menjadi sasaran utama bagi kelompok advanced persistent threat (APT) dan operator ransomware. Serangkaian insiden besar yang melibatkan solusi seperti MOVEit Transfer, Cleo Harmony, dan GoAnywhere MFT menunjukkan pola yang konsisten, di mana pelaku ancaman berfokus pada celah di gateway berbagi file sebagai pintu masuk awal ke jaringan perusahaan.

Dalam konteks ini, ShareFile Storage Zone Controller menjadi target yang sangat menarik. Diperkirakan terdapat sekitar 30.000 instance yang terekspos ke internet publik, menciptakan permukaan serangan yang luas. Sistem ini banyak digunakan oleh organisasi yang memiliki kebutuhan khusus terkait kedaulatan data atau kepatuhan regulasi, sehingga memilih deployment on-premises dibandingkan solusi cloud.

Komponen Storage Zone Controller berfungsi sebagai jembatan antara infrastruktur internal organisasi dengan antarmuka web ShareFile. Ia mengelola alur upload dan download file melalui jaringan internal, sehingga memiliki akses langsung ke data sensitif. Menariknya, kedua kerentanan yang ditemukan sepenuhnya berada pada komponen ini, sehingga deployment berbasis cloud tidak terdampak.

Rantai serangan dimulai dari celah pada panel konfigurasi administrator yang terletak di endpoint /ConfigService/Admin.aspx. Dalam kondisi normal, akses tanpa autentikasi ke endpoint ini akan menghasilkan redirect HTTP 302 ke halaman login sebagai mekanisme pengamanan standar.

Namun, peneliti menemukan kesalahan fatal dalam implementasi kode sumber berbasis C#. Pengembang diketahui mengirimkan parameter boolean bernilai false ke fungsi .Redirect(), yang menyebabkan server tidak menghentikan eksekusi halaman setelah mengirimkan redirect. Kondisi ini dikenal sebagai Execution After Redirect (EAR), sebuah kerentanan klasik namun tetap berbahaya jika tidak ditangani dengan benar.

Eksploitasi terhadap kelemahan ini relatif sederhana. Penyerang hanya perlu mencegat respons HTTP dan menghapus header Location sebelum browser memproses redirect. Dengan demikian, halaman administrator tetap dieksekusi dan ditampilkan sepenuhnya tanpa autentikasi. Hasilnya adalah akses administratif penuh terhadap sistem target.

Setelah mendapatkan akses administrator, tahap kedua eksploitasi memanfaatkan kelemahan dalam mekanisme konfigurasi penyimpanan file. Storage Zone Controller memungkinkan administrator menentukan lokasi direktori untuk menyimpan file yang diunggah. Sistem memang melakukan verifikasi terhadap kemampuan baca dan tulis pada path yang diberikan, tetapi tidak melakukan validasi apakah direktori tersebut aman atau sesuai dengan kebijakan aplikasi.

Ketiadaan validasi ini memungkinkan penyerang mengubah lokasi penyimpanan ke direktori web publik milik aplikasi, seperti C:\inetpub\wwwroot\ShareFile\StorageCenter\documentum. Dengan konfigurasi ini, setiap file yang diunggah akan langsung tersedia di webroot dan dapat diakses melalui browser.

Langkah berikutnya adalah mengunggah file ASPX berbahaya yang berfungsi sebagai web shell, namun disamarkan sebagai file biasa. Setelah file tersebut diunggah, penyerang cukup mengaksesnya melalui browser untuk mendapatkan kontrol jarak jauh penuh terhadap server. Dalam dua langkah sederhana—akses admin tanpa autentikasi dan upload file berbahaya—rantai eksploitasi berhasil diselesaikan.

Kedua kerentanan ini berdampak pada ShareFile Storage Zone Controller versi 5.x yang dibangun di atas framework ASP.NET. Peneliti mengonfirmasi keberadaan celah ini pada versi 5.12.3. Perbaikan telah dirilis oleh Progress Software dalam versi 5.12.4 pada 10 Maret 2026, meskipun tanpa pengumuman publik yang mencolok pada awalnya.

Dari perspektif operasional, kerentanan ini memiliki implikasi yang signifikan. Tidak hanya memungkinkan akses awal tanpa autentikasi, tetapi juga membuka jalur untuk eksekusi kode yang dapat digunakan untuk berbagai tujuan, mulai dari pencurian data hingga deployment ransomware. Mengingat posisi Storage Zone Controller dalam arsitektur jaringan, kompromi terhadap komponen ini dapat memberikan akses luas ke data internal organisasi.

Temuan ini juga memperkuat tren bahwa gateway file sharing dan MFT menjadi titik lemah yang terus dieksploitasi. Sistem-sistem ini sering kali berada di perbatasan antara jaringan internal dan eksternal, menjadikannya target ideal untuk mendapatkan foothold awal. Selain itu, kompleksitas konfigurasi dan kebutuhan integrasi dengan berbagai sistem lain meningkatkan risiko kesalahan implementasi.

Peneliti menekankan bahwa organisasi yang masih menjalankan versi rentan harus menganggap diri mereka berada dalam kondisi berisiko tinggi. Selain melakukan pembaruan ke versi terbaru, langkah respons insiden juga perlu dipertimbangkan, terutama jika sistem telah terekspos ke internet dalam waktu yang lama.

Pemantauan log server web menjadi salah satu indikator awal untuk mendeteksi aktivitas mencurigakan, khususnya permintaan yang menargetkan endpoint konfigurasi seperti /ConfigService/Admin.aspx. Selain itu, audit terhadap direktori webroot untuk mencari file ASPX yang tidak dikenal dapat membantu mengidentifikasi kemungkinan kompromi yang sudah terjadi.

Segmentasi jaringan juga menjadi faktor penting dalam membatasi dampak serangan. Dengan menempatkan gateway file on-premises di belakang aturan firewall yang ketat dan hanya mengizinkan akses dari host terpercaya, organisasi dapat mengurangi eksposur terhadap serangan langsung dari internet.

Kasus ini menunjukkan bagaimana kombinasi dua kelemahan yang tampak sederhana dapat menghasilkan dampak yang sangat besar ketika digabungkan dalam satu rantai eksploitasi. Lebih dari itu, ia menyoroti pentingnya validasi input dan kontrol alur eksekusi dalam pengembangan aplikasi, terutama pada komponen yang memiliki akses langsung ke data sensitif.

Dalam lanskap ancaman saat ini, kecepatan dalam menerapkan patch menjadi faktor krusial. Dengan adanya ribuan instance yang terekspos secara publik, jendela eksploitasi untuk aktor ancaman tetap terbuka selama sistem belum diperbarui. Situasi ini menempatkan organisasi dalam posisi yang rentan, terutama jika mereka mengandalkan sistem on-premises tanpa lapisan proteksi tambahan.

Eksploitasi terhadap ShareFile Storage Zone Controller menambah daftar panjang insiden yang melibatkan platform MFT. Pola yang muncul menunjukkan bahwa pelaku ancaman terus beradaptasi dan mencari celah di infrastruktur yang memiliki nilai strategis tinggi. Bagi tim keamanan, hal ini menuntut pendekatan yang lebih proaktif, tidak hanya dalam merespons kerentanan yang diketahui, tetapi juga dalam mengantisipasi bagaimana komponen kritis dapat disalahgunakan dalam skenario serangan nyata.

Teknik Baru Web Shell: Aktor Ancaman Sembunyikan Eksekusi Kode Lewat HTTP Cookie di Server Linux

Peneliti keamanan mengungkap pendekatan baru yang digunakan aktor ancaman dalam mempertahankan akses tersembunyi ke server Linux, dengan memanfaatkan HTTP cookie sebagai saluran kontrol untuk web shell berbasis PHP. Teknik ini dinilai meningkatkan tingkat stealth secara signifikan karena mampu menyamarkan aktivitas berbahaya di dalam lalu lintas web yang terlihat normal.

Temuan ini dipublikasikan oleh tim riset Microsoft Defender Security Research Team, yang menjelaskan bahwa metode ini menggeser paradigma eksekusi perintah dari parameter URL atau body request ke nilai cookie yang dikirimkan oleh penyerang. Dengan cara ini, web shell tidak lagi mengeksekusi perintah secara eksplisit dalam permintaan HTTP yang mudah dianalisis, melainkan hanya aktif ketika nilai cookie tertentu hadir.

Dalam praktiknya, cookie digunakan sebagai mekanisme gating yang menentukan kapan fungsi berbahaya dijalankan. Nilai yang dikirim melalui cookie berperan sebagai instruksi, pemicu, sekaligus parameter untuk eksekusi kode. Hal ini memungkinkan kode berbahaya tetap tidak aktif selama permintaan normal, dan hanya diaktifkan dalam interaksi yang disengaja oleh penyerang.

Pendekatan ini memberikan keuntungan operasional yang jelas. Cookie merupakan bagian standar dari komunikasi HTTP dan sering kali tidak dianalisis secara mendalam oleh sistem keamanan tradisional. Akibatnya, penggunaan cookie sebagai channel kontrol mampu mengurangi visibilitas aktivitas berbahaya dan meminimalkan indikator yang dapat terdeteksi oleh sistem monitoring maupun logging aplikasi.

Secara teknis, teknik ini memanfaatkan variabel superglobal $_COOKIE dalam PHP, yang secara otomatis menyediakan akses ke nilai cookie saat runtime tanpa memerlukan parsing tambahan. Ini memungkinkan input dari penyerang langsung diproses oleh aplikasi, menciptakan jalur eksekusi yang lebih sederhana namun sulit dilacak.

Peneliti mengidentifikasi beberapa variasi implementasi dari teknik ini. Dalam salah satu skenario, web shell bertindak sebagai loader yang sangat ter-obfuscasi, dengan beberapa lapisan perlindungan yang dirancang untuk menghindari analisis statis. Loader ini hanya akan memproses payload sekunder setelah melakukan serangkaian pemeriksaan terhadap nilai cookie yang diterima.

Pada implementasi lain, data yang dikirim melalui cookie dipecah menjadi beberapa segmen yang kemudian direkonstruksi oleh script PHP untuk membentuk fungsi operasional seperti manipulasi file atau decoding payload. Setelah direkonstruksi, script dapat menulis payload tambahan ke disk dan mengeksekusinya, tergantung pada kondisi tertentu yang ditentukan oleh nilai cookie.

Ada pula pendekatan yang lebih sederhana, di mana satu nilai cookie berfungsi sebagai penanda untuk mengaktifkan aksi tertentu, seperti menjalankan kode yang diberikan oleh penyerang atau mengunggah file ke server. Meskipun terlihat minimalis, metode ini tetap efektif karena mengandalkan mekanisme komunikasi yang sah dan sulit dibedakan dari aktivitas normal.

Salah satu temuan penting dalam laporan ini adalah bagaimana aktor ancaman mempertahankan persistensi di sistem target. Dalam setidaknya satu kasus, akses awal diperoleh melalui kredensial valid atau eksploitasi kerentanan yang sudah diketahui. Setelah masuk, penyerang mengatur cron job yang secara berkala menjalankan rutin shell untuk mengeksekusi loader PHP yang telah di-obfuscasi.

Arsitektur ini menciptakan mekanisme “self-healing”, di mana web shell dapat secara otomatis dibuat ulang oleh scheduled task meskipun telah dihapus oleh administrator atau sistem keamanan. Dengan demikian, penyerang tidak hanya memperoleh akses awal, tetapi juga memastikan keberlangsungan akses tersebut dalam jangka panjang tanpa perlu intervensi manual.

Setelah loader PHP terpasang, ia tetap tidak aktif selama lalu lintas normal. Aktivasi hanya terjadi ketika server menerima permintaan HTTP dengan cookie yang sesuai dengan pola yang telah ditentukan. Pemisahan antara mekanisme persistensi dan eksekusi ini secara efektif mengurangi noise operasional dan membuat aktivitas penyerang lebih sulit terdeteksi.

Pendekatan ini juga mencerminkan tren yang lebih luas dalam evolusi teknik pasca-kompromi, di mana aktor ancaman semakin memanfaatkan jalur eksekusi yang sah dalam sistem target. Alih-alih menggunakan exploit chain yang kompleks, mereka memanfaatkan komponen yang sudah tersedia seperti proses web server, panel kontrol hosting, dan infrastruktur cron untuk menjalankan kode berbahaya.

Kesamaan yang mengikat berbagai implementasi teknik ini adalah penggunaan obfuscation untuk menyembunyikan fungsi sensitif, serta mekanisme cookie-based gating untuk mengontrol kapan aksi dijalankan. Kombinasi ini menghasilkan jejak interaksi yang sangat minimal, sehingga menyulitkan proses deteksi berbasis signature maupun analisis perilaku sederhana.

Dari perspektif pertahanan, teknik ini menimbulkan tantangan baru bagi tim keamanan. Karena aktivitas berbahaya tidak terlihat dalam parameter URL atau body request, pendekatan inspeksi tradisional menjadi kurang efektif. Selain itu, penggunaan cookie sebagai channel kontrol mengaburkan batas antara trafik normal dan trafik berbahaya.

Untuk mengurangi risiko, Microsoft merekomendasikan sejumlah langkah mitigasi yang berfokus pada penguatan kontrol akses dan peningkatan visibilitas. Ini mencakup penerapan autentikasi multi-faktor pada panel hosting dan akses SSH, pemantauan aktivitas login yang tidak biasa, serta pembatasan eksekusi interpreter shell di lingkungan produksi.

Audit terhadap cron job dan scheduled task juga menjadi langkah penting, mengingat peran krusialnya dalam mempertahankan persistensi. Selain itu, organisasi disarankan untuk secara rutin memeriksa direktori web terhadap file yang mencurigakan serta membatasi kemampuan shell pada panel kontrol hosting.

Temuan ini menegaskan bahwa ancaman modern tidak selalu bergantung pada eksploitasi teknis yang kompleks. Dengan memanfaatkan mekanisme yang sah dan sering diabaikan seperti cookie HTTP, aktor ancaman mampu menciptakan jalur akses yang persisten dan sulit dideteksi.

Lebih jauh, penggunaan cookie sebagai mekanisme kontrol menunjukkan adanya reuse teknik yang telah matang dalam ekosistem web shell. Pendekatan ini tidak hanya meningkatkan stealth, tetapi juga memberikan fleksibilitas tinggi dalam mengendalikan sistem yang telah dikompromikan tanpa meninggalkan jejak yang mencolok.

Dalam konteks operasional, pergeseran ini mengharuskan organisasi untuk memperluas cakupan deteksi mereka, tidak hanya pada payload atau exploit, tetapi juga pada pola komunikasi yang tampak sah namun digunakan untuk tujuan berbahaya. Tanpa visibilitas yang memadai terhadap layer aplikasi dan interaksi HTTP secara menyeluruh, teknik semacam ini berpotensi lolos dari pengawasan dalam waktu yang lama.

Dengan semakin banyaknya teknik yang memanfaatkan fitur bawaan sistem sebagai vektor serangan, batas antara aktivitas normal dan aktivitas berbahaya menjadi semakin kabur. Dalam kondisi ini, pendekatan keamanan yang adaptif dan berbasis konteks menjadi krusial untuk mengidentifikasi ancaman yang tidak lagi bergantung pada indikator tradisional.