Laporan Terbaru: Peretas Iran Targetkan Cloud Microsoft 365 Lewat Password Spraying - 2026

Sebuah kampanye serangan siber berskala besar yang menargetkan lingkungan Microsoft 365 di Israel dan Uni Emirat Arab (UEA) terdeteksi tengah berlangsung, dengan indikasi kuat keterlibatan aktor ancaman yang memiliki keterkaitan dengan Iran. Aktivitas ini muncul di tengah meningkatnya ketegangan geopolitik di kawasan Timur Tengah, dan dinilai sebagai bagian dari upaya pengumpulan intelijen strategis oleh aktor negara.

Halini diungkap oleh Check Point Research, yang mengidentifikasi bahwa serangan dilakukan dalam tiga gelombang utama pada 3 Maret, 13 Maret, dan 23 Maret 2026. Menyatakan bahwa serangan ini menggunakan teknik password spraying, sebuah metode brute-force yang mencoba sejumlah kecil kata sandi umum terhadap banyak akun untuk menghindari deteksi berbasis threshold.

Pada tahap awal, penyerang melakukan pemindaian intensif terhadap ratusan organisasi, dengan fokus utama pada entitas yang berlokasi di Israel dan UEA. Aktivitas ini dijalankan melalui jaringan anonim seperti Tor, khususnya melalui exit nodes yang terus berubah untuk menghindari pemblokiran berbasis alamat IP. Selama proses ini, penyerang menyamarkan identitas mereka dengan menggunakan User-Agent yang meniru browser lawas seperti Internet Explorer 10, sebuah taktik yang dirancang untuk menghindari sistem deteksi modern yang lebih sensitif terhadap pola akses mencurigakan.

Ketika kredensial yang valid berhasil ditemukan, serangan memasuki fase infiltrasi. Dalam tahap ini, pelaku menggunakan alamat IP dari layanan VPN komersial seperti Windscribe dan NordVPN, yang dikonfigurasi agar tampak berasal dari lokasi geografis Israel. Pendekatan ini memungkinkan mereka untuk melewati pembatasan berbasis lokasi atau geo-restriction yang sering diterapkan dalam kebijakan keamanan organisasi.

Setelah mendapatkan akses, penyerang melanjutkan ke tahap eksfiltrasi dengan memanfaatkan kredensial yang sah untuk mengakses data sensitif, termasuk konten email pribadi. Dalam sejumlah kasus terbatas, aktivitas ini berujung pada pencurian data dari lingkungan yang telah dikompromikan. Namun, skala dan pola serangan menunjukkan bahwa tujuan utama kampanye ini lebih berfokus pada pengumpulan intelijen dibandingkan sabotase langsung. 

Serangan ini sama seperti yang pernah dilakukan oleh hacktivist kepada Iran yang di picu oleh perang Amerika-Israel bernama epic fury pada 28 Februari 2026

Microsoft mengaitkan aktivitas ini dengan kelompok ancaman negara yang dikenal sebagai Peach Sandstorm. Grup ini sebelumnya telah menargetkan sektor-sektor strategis seperti satelit, pertahanan, dan farmasi di berbagai wilayah dunia. Berdasarkan profil target dan pola aktivitas pasca-kompromi, Microsoft menilai bahwa akses awal yang diperoleh melalui kampanye ini kemungkinan digunakan untuk mendukung kepentingan intelijen negara Iran. 

Selain Peach Sandstorm, aktivitas serupa juga dikaitkan dengan entitas lain yang dikenal sebagai Gray Sandstorm, sebelumnya dilacak dengan identifier DEV-0343. Kelompok ini diketahui menggunakan teknik password spraying secara masif dengan meniru perilaku browser populer seperti Firefox dan Chrome, serta memanfaatkan jaringan proxy Tor dalam skala besar. Dalam satu organisasi, mereka dapat menargetkan puluhan hingga ratusan akun, dengan ribuan upaya autentikasi yang berasal dari ratusan hingga lebih dari seribu alamat IP unik.

Salah satu karakteristik teknis yang menonjol dari kampanye ini adalah penggunaan endpoint Microsoft Exchange seperti Autodiscover dan Exchange ActiveSync. Endpoint ini dimanfaatkan untuk enumerasi akun dan validasi kredensial, memungkinkan penyerang mempersempit target mereka secara efisien. Selain itu, ditemukan indikasi penggunaan alat otomatisasi yang memiliki kemiripan dengan tool open-source “o365spray,” yang secara khusus dirancang untuk melakukan enumerasi dan password spraying terhadap layanan Microsoft 365.

Menariknya, pola aktivitas menunjukkan bahwa puncak serangan sering terjadi antara pukul 04.00 hingga 11.00 UTC. Pola waktu ini dapat mencerminkan strategi operasional tertentu, baik untuk menghindari jam sibuk sistem keamanan maupun untuk menyesuaikan dengan zona waktu target.

Salah satu tantangan utama dalam mendeteksi dan merespons kampanye ini adalah tidak adanya indikator kompromi (IOC) yang statis. Penggunaan infrastruktur berbasis Tor dan rotasi IP yang agresif membuat pendekatan berbasis blacklist menjadi kurang efektif. Oleh karena itu, pendekatan deteksi berbasis perilaku menjadi krusial, termasuk analisis terhadap pola login yang tidak biasa, lonjakan traffic dari jaringan anonim, serta aktivitas enumerasi yang mencurigakan.

Microsoft mencatat bahwa dalam kasus di mana autentikasi berhasil dilakukan, aktor ancaman menggunakan kombinasi alat publik dan kustom untuk melakukan eksplorasi jaringan, mempertahankan akses (persistence), dan bergerak lateral di dalam sistem korban. Meskipun hanya sebagian kecil insiden yang berujung pada eksfiltrasi data, potensi risiko dari aktivitas pasca-kompromi tetap signifikan, terutama jika menyasar infrastruktur kritikal atau data sensitif.

Dalam konteks yang lebih luas, kampanye ini mencerminkan evolusi taktik aktor negara dalam operasi siber. Alih-alih mengandalkan eksploitasi zero-day yang kompleks, pendekatan seperti password spraying menawarkan efektivitas tinggi dengan kompleksitas relatif rendah, terutama ketika dikombinasikan dengan teknik penghindaran deteksi yang canggih.

Microsoft menyatakan bahwa mereka secara langsung memberi notifikasi kepada pelanggan yang menjadi target atau korban kampanye ini, serta menyediakan panduan untuk mengamankan akun dan infrastruktur mereka. Langkah ini menjadi bagian dari upaya yang lebih luas untuk meningkatkan kesadaran terhadap tradecraft terbaru yang digunakan oleh aktor ancaman negara.

Dengan meningkatnya volume aktivitas dan persistensi upaya akses terhadap target, organisasi yang menggunakan Microsoft 365 diimbau untuk memperkuat postur keamanan mereka. Ini mencakup penerapan autentikasi multi-faktor, pemantauan log secara aktif, serta deteksi anomali berbasis perilaku yang mampu mengidentifikasi pola serangan seperti password spraying.

Kampanye ini memperlihatkan bahwa dalam tipe ancaman saat ini, serangan tidak selalu bergantung pada kerentanan teknis tingkat tinggi. Kredensial yang lemah dan praktik keamanan yang tidak konsisten tetap menjadi titik masuk utama bagi aktor ancaman yang terorganisir dengan baik dan memiliki sumber daya besar.

Baca Juga:

Amerika-Israel-Iran 

Email Direktur FBI Di Hack Iran

Sumber:

Check Point research

Tor Project

WindSribe

NordVPN

ATTCK-MITRE

Microsoft-Threat-Intelligence 1

Microsoft-Threat-Intelligence 2 

GitHub 

Kerentanan Kritis FortiClient EMS Aktif Dieksploitasi di Internet, Fortinet Rilis Hotfix Darurat untuk Cegah Eksekusi Kode Ilegal

Fortinet mengonfirmasi adanya eksploitasi aktif terhadap kerentanan kritis pada FortiClient Enterprise Management Server (EMS), yang memungkinkan penyerang tanpa autentikasi untuk mengeksekusi perintah atau kode secara tidak sah melalui permintaan yang dirancang secara khusus. Kerentanan ini diklasifikasikan sebagai masalah improper access control dengan referensi CWE-284, yang berdampak langsung pada mekanisme autentikasi dan otorisasi dalam sistem.

Menurut informasi resmi, kerentanan ini telah diamati dieksploitasi secara langsung di lingkungan nyata atau di Internet secara bebas, yang menandakan bahwa risiko bukan lagi bersifat teori atau informasi biasa. Penyerang dapat memanfaatkan celah ini untuk mengakses fungsi administratif tanpa kredensial, membuka jalur bagi eksekusi perintah berbahaya dari jarak jauh. Dalam konteks infrastruktur enterprise, kondisi ini berpotensi mengarah pada kompromi penuh terhadap sistem manajemen endpoint.

Fortinet merespons dengan merilis hotfix khusus untuk pengguna FortiClient EMS versi 7.4.5 dan 7.4.6. Patch ini dirancang untuk menutup celah keamanan secara cepat tanpa menunggu rilis versi mayor berikutnya. Perusahaan juga mengonfirmasi bahwa perbaikan permanen akan tersedia dalam versi 7.4.7 yang akan datang. Untuk sementara, penerapan hotfix yang tersedia disebut cukup untuk sepenuhnya memitigasi risiko eksploitasi.

Versi yang terdampak secara spesifik mencakup FortiClient EMS 7.4.5 hingga 7.4.6, sementara versi 7.2 dinyatakan tidak terpengaruh. Di sisi lain, kerentanan berbeda yang terkait dengan SQL Injection juga diidentifikasi pada versi 7.4.4 (tenable). Kerentanan ini, yang terdaftar sebagai CVE-2026-21643, memiliki tingkat keparahan tinggi dengan skor CVSS 9.8 berdasarkan penilaian dari Fortinet. Eksploitasi dilakukan melalui permintaan HTTP yang dirancang khusus, memungkinkan eksekusi kode tanpa autentikasi.

Dalam kerentanan SQL Injection tersebut, kelemahan terjadi akibat improper neutralization terhadap elemen khusus dalam perintah SQL, yang dikategorikan dalam CWE-89. Dengan memanfaatkan celah ini, penyerang dapat menyisipkan query berbahaya ke dalam sistem backend, yang pada akhirnya memungkinkan akses tidak sah ke database, manipulasi data, hingga eksekusi perintah sistem.

Fortinet menegaskan bahwa eksploitasi terhadap kerentanan SQL Injection ini juga telah terdeteksi di lingkungan nyata. Hal ini memperkuat urgensi bagi organisasi untuk segera melakukan pembaruan sistem ke versi yang telah diperbaiki. Pengguna FortiClient EMS 7.4.4 disarankan untuk segera melakukan upgrade ke versi 7.4.5 atau yang lebih baru guna menutup celah tersebut. (di konoha keknya tunggu kesebar dulu xixixi)

Selain merilis patch, Fortinet juga memberikan panduan teknis terkait penerapan hotfix. Paket hotfix ini hanya mencakup subset dari binary EMS yang relevan dengan permasalahan tertentu, sehingga dapat mengurangi risiko efek samping yang tidak diinginkan. Pendekatan ini memungkinkan distribusi patch dilakukan dengan cepat tanpa mengganggu stabilitas sistem secara keseluruhan.

Proses penerapan hotfix melibatkan beberapa tahap teknis, termasuk pengunduhan paket dari portal dukungan Fortinet, transfer file ke server EMS menggunakan protokol seperti SCP atau SFTP, serta eksekusi perintah khusus melalui antarmuka command line. Pada lingkungan berbasis Linux atau virtual appliance, administrator perlu mengakses sistem melalui SSH dan menjalankan perintah untuk menerapkan patch secara langsung.

Selama proses instalasi, sistem akan melakukan serangkaian langkah seperti verifikasi checksum, ekstraksi paket, pencadangan file lama, serta penggantian komponen yang terdampak. Dalam beberapa kasus, layanan tertentu seperti apache2 akan dihentikan sementara untuk memastikan integritas proses pembaruan. Selain itu, skrip tambahan dapat dijalankan untuk memperbarui konfigurasi sistem atau melakukan perubahan pada database internal.

Setelah proses selesai, administrator dapat memverifikasi status hotfix melalui perintah khusus yang menampilkan daftar patch yang telah diterapkan. Status “applied” menjadi indikator bahwa pembaruan telah berhasil diinstal dan sistem telah terlindungi dari kerentanan yang ditangani oleh patch tersebut.

Kasus ini kembali menyoroti pentingnya respons cepat terhadap kerentanan yang telah dieksploitasi secara aktif. Dalam banyak insiden, jeda waktu antara publikasi kerentanan dan penerapan patch menjadi faktor kritis yang menentukan tingkat dampak terhadap organisasi. Dengan adanya eksploitasi tanpa autentikasi, risiko terhadap sistem yang belum diperbarui menjadi sangat tinggi.

Di sisi lain, penggunaan hotfix sebagai solusi sementara mencerminkan pendekatan pragmatis dalam manajemen kerentanan. Alih-alih menunggu siklus rilis reguler, vendor dapat memberikan mitigasi cepat untuk menutup celah yang sedang dimanfaatkan. Namun, organisasi tetap disarankan untuk melakukan upgrade ke versi stabil terbaru setelah tersedia, guna memastikan perlindungan jangka panjang.

Dengan dua kerentanan berbeda yang sama-sama memungkinkan eksekusi kode tanpa autentikasi, FortiClient EMS menjadi target yang signifikan dalam lanskap ancaman saat ini. Kombinasi antara access control bypass dan SQL Injection memberikan fleksibilitas bagi penyerang untuk memilih vektor serangan yang paling sesuai dengan kondisi target.

Bagi organisasi yang menggunakan FortiClient EMS sebagai bagian dari infrastruktur keamanan endpoint, langkah mitigasi tidak dapat ditunda. Audit sistem, pembaruan versi, serta pemantauan aktivitas mencurigakan menjadi langkah penting untuk memastikan tidak adanya kompromi lebih lanjut. Dalam konteks serangan yang telah terjadi di alam liar, asumsi bahwa sistem telah menjadi target bukan lagi berlebihan, melainkan pendekatan defensif yang realistis.

Sumber:

FortinetGuard

Tenable

NVD-NIST

CWE-MITRE

36 Paket Berbahaya di NPM Menyamar sebagai Plugin Strapi, Targetkan Infrastruktur Kripto dengan Eksploitasi Redis dan PostgreSQL

Sebuah kampanye berbahaya yang terstruktur dan terarah telah terungkap di ekosistem NPM, di mana sedikitnya 36 paket ditemukan menyamar sebagai plugin untuk Strapi CMS. Paket-paket ini tidak sekadar berisi kode berbahaya biasa, tetapi dirancang dengan berbagai payload kompleks yang mampu mengeksploitasi Redis dan PostgreSQL, mencuri kredensial sensitif, hingga menanam implant persisten pada sistem korban. Temuan ini menunjukkan adanya operasi yang matang dengan tujuan spesifik, yakni menargetkan infrastruktur platform pembayaran berbasis cryptocurrency.

Secara kronologis, aktivitas publikasi paket dimulai dengan akun umar_bektembiev1 yang merilis gelombang awal, termasuk paket seperti strapi-plugin-cron dan varian lain yang memiliki kemampuan eksploitasi tingkat lanjut. Dalam waktu beberapa jam, paket-paket lain menyusul dari akun berbeda seperti umarbek1233, kekylf12, dan tikeqemif26. Pola publikasi yang saling tumpang tindih serta konsistensi teknik serangan menunjukkan bahwa seluruh akun tersebut kemungkinan dikendalikan oleh aktor yang sama.

Setiap paket membawa fungsi spesifik dalam rantai serangan. Misalnya, strapi-plugin-cron memanfaatkan teknik eksploitasi Redis melalui perintah CONFIG SET untuk menyuntikkan entri crontab, menulis webshell berbasis PHP, serta menjalankan reverse shell berbasis Node.js. Selain itu, paket ini juga mencoba menyisipkan kunci SSH ke dalam authorized_keys serta membaca data mentah dari disk menggunakan kombinasi mknod dan dd untuk mengekstrak informasi sensitif.

Paket lain seperti strapi-plugin-config memperluas kemampuan serangan dengan mencoba melakukan escape dari container Docker melalui analisis overlay filesystem. Dengan menemukan direktori upperdir, payload dapat ditulis ke lokasi yang dapat diakses host. Teknik ini memungkinkan penyerang melampaui isolasi container dan mengakses sistem yang lebih luas. Tidak hanya itu, paket ini juga membaca data mentah untuk menemukan kredensial Elasticsearch serta wallet kripto, kemudian menyisipkan hook berbahaya ke dalam node_modules.

Serangkaian paket lain seperti strapi-plugin-server, strapi-plugin-database, hingga strapi-plugin-hooks difokuskan pada eksekusi reverse shell secara langsung. Menariknya, payload ini menggunakan mekanisme gating berbasis hostname, hanya aktif jika sistem target mengandung string tertentu seperti “prod”. Hal ini menunjukkan bahwa serangan dirancang untuk menghindari deteksi di lingkungan pengujian atau sandbox. Reverse shell dijalankan melalui bash pada port 4444 dan Python pada port 8888, serta dapat dipicu melalui Redis.

Eksfiltrasi data menjadi komponen utama dalam kampanye ini. Paket seperti strapi-plugin-events dan strapi-plugin-monitor dirancang untuk mengumpulkan kredensial dalam skala besar. Mereka menelusuri file .env, variabel lingkungan, konfigurasi Strapi, serta file sistem untuk menemukan private key, token Kubernetes, dan informasi jaringan. Data yang dikumpulkan mencakup koneksi PostgreSQL, isi Redis, hingga informasi Docker dan Kubernetes, yang semuanya dikirim ke server command-and-control menggunakan HTTP tanpa enkripsi.

Teknik eksfiltrasi yang digunakan juga menunjukkan tingkat kecanggihan tertentu. Salah satu varian payload menerapkan metode chunking, memecah data besar menjadi segmen 50KB untuk menghindari batasan ukuran atau deteksi. Setiap bagian dikirim dengan penomoran tertentu, memungkinkan rekonstruksi data secara lengkap di sisi server penyerang. Jalur komunikasi C2 menggunakan path berbasis routing seperti /c2/<id>/env untuk file lingkungan atau /c2/<id>/redis-full untuk dump Redis.

Eksploitasi terhadap PostgreSQL dilakukan secara langsung dalam paket seperti strapi-plugin-seed. Dengan menggunakan kredensial hardcoded, paket ini dapat terhubung ke database, mengekstrak tabel yang berkaitan dengan transaksi, wallet, dan deposit, serta melakukan enumerasi terhadap seluruh database dalam server. Bahkan terdapat probing spesifik terhadap nama database seperti guardarian, guardarian_payments, exchange, dan custody, yang memperkuat indikasi bahwa serangan ini menargetkan platform tertentu secara spesifik.

Aspek persistence juga menjadi perhatian utama dalam kampanye ini. Versi tertentu dari strapi-plugin-api menanamkan agen C2 persisten ke dalam sistem dengan menulis file seperti /tmp/.node_gc.js dan menjalankannya secara terpisah. Selain itu, entri crontab ditambahkan untuk memastikan payload tetap aktif meskipun sistem direstart. Teknik fileless execution juga digunakan melalui perintah node -e, yang memungkinkan eksekusi kode tanpa meninggalkan artefak file yang jelas.

Semua data yang dicuri, termasuk private key, mnemonic wallet, dan kredensial lainnya, dikirim melalui HTTP ke alamat IP 144.31.107.231 pada port 9999 tanpa enkripsi. Hal ini berarti bahwa data sensitif dapat dengan mudah diintersepsi jika lalu lintas jaringan dipantau, namun juga menunjukkan bahwa fokus utama penyerang adalah kecepatan dan volume eksfiltrasi, bukan stealth tingkat jaringan.

Indikasi kuat bahwa ini adalah penargetan yang dilakukan terlihat dari referensi spesifik terhadap infrastruktur tertentu dalam payload, termasuk path direktori, nama layanan, serta kredensial database yang sudah diketahui sebelumnya. Hal ini menandakan bahwa penyerang kemungkinan telah memiliki akses awal atau intelijen sebelumnya terhadap target, bukan sekadar melakukan serangan acak terhadap ekosistem NPM.

Hal ini juga bersamaan dengan lonjakan serangan yang kemudian menargetkan ekosistem sumber terbuka atau Open Source melalui rantai serangan:

1. user atau pengguna GitHub dengan nama ezmtebo teridentifikasi mengirim lebih dari 256 pull request yang telah disisipi payload pencurian kredensial. Teknik yang digunakan memanfaatkan log CI/CD serta komentar pada pull request untuk mengekstrak secret dari lingkungan pengembangan tanpa memicu kecurigaan langsung.

2. Organisasi GitHub dev-protocol dilaporkan mengalami pengambilalihan akun dan dimanfaatkan untuk mendistribusikan bot trading Polymarket berbahaya. Paket tersebut mengandalkan dependency npm dengan teknik typosquatting untuk mencuri private key wallet serta membuka akses backdoor melalui SSH.

3. Paket Emacs kubernetes-el/kubernetes-el menjadi korban kompromi melalui eksploitasi celah pada workflow GitHub Actions yang dikenal sebagai Pwn Request. Serangan ini memungkinkan pelaku mendapatkan GITHUB_TOKEN milik repository, yang kemudian digunakan untuk menyisipkan kode destruktif ke dalam proyek.

4. Workflow GitHub Actions milik proyek xygeni/xygeni-action berhasil ditembus setelah kredensial maintainer dicuri. Akses ini dimanfaatkan untuk menanamkan backdoor berupa reverse shell. Setelah insiden tersebut, pihak Xygeni telah melakukan penguatan kontrol keamanan pada sistem mereka.

5. Paket npm mgc disusupi melalui pengambilalihan akun maintainer, yang kemudian digunakan untuk merilis versi berbahaya. Versi ini mengandung dropper yang mengunduh payload sesuai platform, yakni trojan berbasis Python untuk Linux dan varian PowerShell untuk Windows. Pola serangan ini memiliki kemiripan dengan kampanye supply chain sebelumnya yang menargetkan Axios dan dikaitkan dengan aktor UNC1069 yang di sinyalir dari Korea Utara.

6. Sebuah paket npm berbahaya dengan nama express-session-js ditemukan meniru paket populer "express-session". Paket ini berfungsi sebagai dropper yang mengunduh remote access trojan (RAT), membuka akses jarak jauh ke sistem korban.

7. Paket PyPI bittensor-wallet versi 4.0.2 diketahui telah dimodifikasi untuk menyisipkan backdoor. Payload ini secara khusus dirancang untuk mengekstrak private key dari wallet pengguna.

8. Paket npm @azure/service-bus-node mengandung komponen berbahaya berupa dropper yang mengambil RAT dari layanan JSON Keeper. Malware ini digunakan untuk mencuri data sekaligus mempertahankan akses persisten dengan membangun koneksi ke alamat IP 216.126.237[.]71 melalui library Socket.IO.

Dampak dari serangan ini sangat signifikan. Sistem yang terinfeksi dapat mengalami kompromi penuh, termasuk akses root, kebocoran data sensitif, serta pengambilalihan layanan. Oleh karena itu, setiap pengguna yang pernah menginstal paket-paket tersebut disarankan untuk menganggap sistem mereka telah sepenuhnya dikompromikan.

Langkah mitigasi yang direkomendasikan mencakup rotasi seluruh kredensial yang mungkin terekspos, termasuk password database, API key, dan JWT secret. Password PostgreSQL yang digunakan dalam payload harus segera diganti jika masih digunakan. Token Kubernetes juga perlu dicabut untuk mencegah penyalahgunaan lebih lanjut. Selain itu, sistem harus diperiksa untuk mekanisme persistence seperti file mencurigakan di direktori /tmp, entri crontab yang tidak dikenal, serta proses node yang berjalan tanpa konteks jelas.

Audit terhadap Redis juga diperlukan, khususnya dengan memeriksa konfigurasi direktori melalui perintah CONFIG GET dir untuk memastikan tidak ada manipulasi. Penggunaan alat keamanan seperti pemindai dependency dapat membantu mendeteksi paket berbahaya sebelum mencapai lingkungan produksi. Pencegahan di tahap instalasi menjadi krusial mengingat serangan ini memanfaatkan kepercayaan terhadap ekosistem open-source.

Kasus ini menegaskan kembali bahwa supply chain attack di ekosistem JavaScript masih menjadi ancaman nyata, terutama bagi proyek yang mengandalkan banyak dependency eksternal. Dengan kompleksitas payload dan tingkat target yang spesifik, kampanye ini menunjukkan evolusi serangan yang tidak lagi bersifat oportunistik, melainkan dirancang dengan presisi tinggi untuk mencapai tujuan tertentu.

Sumber:

safedep

stepsecurity

xygeni

PyPi

cyberandramen

Baca Juga:

Claude Code Repo

Serangan Supply Chain Trivy: Build GitHub Disusupi, Infostealer Curi Kredensial Cloud dan Developer

Sebuah insiden keamanan serius menargetkan proyek open-source Trivy, ketika pelaku ancaman berhasil menyusupi proses build di GitHub dan mendistribusikan pembaruan berbahaya yang menyisipkan malware jenis infostealer. Serangan ini diklasifikasikan sebagai supply chain attack, di mana pelaku tidak langsung menyerang target akhir, melainkan memanfaatkan jalur distribusi perangkat lunak untuk menyebarkan payload berbahaya ke pengguna yang mempercayai sumber resmi.

Dalam insiden ini, pelaku mendorong tag berbahaya yang menyertakan tautan ke binary payload yang belum dianalisis sepenuhnya. Namun, indikator awal menunjukkan bahwa payload tersebut dirancang untuk mencuri informasi sensitif dari lingkungan pengembangan maupun pipeline otomatis. Hingga detail lengkap tersedia, insiden ini diperlakukan sebagai ancaman dengan tingkat kritis mengingat potensi dampaknya yang luas terhadap pengguna Trivy, termasuk organisasi yang mengandalkan alat tersebut dalam proses keamanan aplikasi.

Salah satu teknik yang digunakan dalam serangan ini adalah pembuatan domain tiruan yang menyerupai domain resmi. Pelaku menggunakan domain scan[.]aquasecurtiy[.]org, yang secara visual sangat mirip dengan domain milik Aqua Security. Dari domain tersebut, proses build yang telah dikompromikan menarik empat file berbahaya berbasis Golang. Teknik typosquatting seperti ini sering kali berhasil karena perbedaan kecil pada penulisan domain sulit dikenali secara cepat, terutama dalam proses otomatis seperti CI/CD.

Malware yang disisipkan dalam rantai serangan ini diidentifikasi oleh pelaku sebagai “TeamPCP Cloud stealer”. Fungsinya tidak berhenti pada satu tahap. Setelah dijalankan, malware mencoba mengambil payload tambahan dari domain lain yang juga berada di bawah kendali pelaku. Jika upaya tersebut gagal, malware akan beralih ke endpoint alternatif untuk mendapatkan instruksi atau payload tambahan, menunjukkan adanya mekanisme redundansi dalam infrastruktur command and control.

Kemampuan utama malware ini terletak pada pengumpulan kredensial dan data sensitif. Dalam lingkungan CI/CD, malware memanfaatkan akses ke proses runner dengan membaca memori dari Runner.Worker melalui jalur /proc/<pid>/mem. Teknik ini memungkinkan ekstraksi data yang sedang diproses, termasuk token, kunci API, dan kredensial lainnya yang biasanya hanya tersedia di memori selama runtime. Selain itu, malware juga melakukan pemindaian sistem file untuk mencari kunci SSH, kredensial cloud seperti AWS, GCP, dan Azure, token Kubernetes, serta dompet cryptocurrency. Lebih dari 50 jalur file sensitif menjadi target dalam proses ini.

Serangan tidak terbatas pada pipeline otomatis. Versi binary Trivy yang telah dimodifikasi, khususnya versi 0.69.4, juga dirancang untuk mencuri data dari mesin developer. Binary tersebut mengumpulkan variabel lingkungan, memetakan antarmuka jaringan, dan mengekstrak informasi yang dapat digunakan untuk eskalasi serangan lebih lanjut. Hal ini memperluas cakupan dampak dari sekadar lingkungan build menjadi endpoint individu yang digunakan oleh pengembang.

Data yang berhasil dikumpulkan tidak langsung dikirim dalam bentuk mentah. Malware menggunakan skema enkripsi hybrid yang menggabungkan AES-256-CBC dan RSA-4096 untuk mengamankan data sebelum dikirim ke server command and control. Data tersebut dikemas dalam arsip bernama tpcp.tar.gz dan dikirim ke domain yang telah ditiru sebelumnya. Pendekatan ini menunjukkan tingkat perencanaan yang matang, karena data yang dienkripsi sulit dianalisis jika tertangkap dalam lalu lintas jaringan.

Menariknya, varian malware yang berjalan di GitHub Actions memiliki metode eksfiltrasi tambahan yang tidak lazim. Alih-alih hanya mengirim data ke server eksternal, malware dapat mengunggah data yang dicuri ke repository dalam akun GitHub korban, dengan nama tpcp-docs. Teknik ini memanfaatkan kredensial yang sudah tersedia di runner, sehingga tidak memerlukan koneksi keluar yang mencurigakan. Pendekatan ini juga menyulitkan deteksi karena aktivitas terlihat seperti operasi normal dalam konteks GitHub.

Selain pencurian data, malware juga memiliki mekanisme persistensi ketika dijalankan di luar lingkungan CI/CD. Pada mesin developer, malware menjatuhkan skrip Python ke dalam direktori konfigurasi pengguna dan mendaftarkannya sebagai unit systemd agar dapat berjalan secara terus-menerus. Skrip ini secara berkala menghubungi server command and control untuk mengambil payload tambahan, memungkinkan pelaku mempertahankan akses jangka panjang ke sistem yang telah terinfeksi.

Insiden ini menyoroti risiko inheren dalam rantai pasok perangkat lunak, terutama pada proyek open-source yang digunakan secara luas dalam pipeline keamanan dan DevOps. Ketika alat yang dirancang untuk meningkatkan keamanan justru menjadi vektor serangan, dampaknya dapat meluas dengan cepat ke berbagai organisasi yang mengandalkan alat tersebut dalam proses otomatis mereka.

Dari sudut pandang operasional, serangan ini memperlihatkan bagaimana kombinasi beberapa teknik typosquatting domain, kompromi pipeline build, pencurian kredensial dari memori, serta eksfiltrasi data terenkripsi dapat digabungkan menjadi satu rantai serangan yang efektif. Kompleksitas ini juga menyulitkan deteksi dini, terutama jika organisasi tidak memiliki visibilitas penuh terhadap aktivitas dalam pipeline CI/CD mereka.

Bagi praktisi keamanan, insiden ini menjadi pengingat bahwa kepercayaan terhadap sumber resmi harus tetap diimbangi dengan verifikasi tambahan. Validasi checksum binary, pembatasan akses kredensial dalam pipeline, serta pemantauan aktivitas anomali di lingkungan build menjadi langkah penting untuk mengurangi risiko serupa. Sementara itu, bagi developer, penting untuk memahami bahwa alat yang digunakan dalam proses pengembangan juga dapat menjadi target serangan.

Serangan terhadap Trivy ini memperlihatkan bahwa supply chain bukan lagi target sekunder, melainkan jalur utama bagi pelaku ancaman untuk menjangkau banyak korban sekaligus. Dengan memanfaatkan satu titik distribusi, pelaku dapat menyebarkan malware ke berbagai lingkungan tanpa perlu menargetkan masing-masing sistem secara langsung. Dalam konteks ini, keamanan pipeline dan integritas build menjadi komponen krusial yang tidak dapat diabaikan.

Celah Kritis pyLoad Buka Jalan RCE Tanpa Autentikasi: Analisis Bug storage_folder dan Risiko Session Poisoning

Kerentanan baru pada aplikasi manajemen unduhan pyLoad mengungkap kelemahan serius yang memungkinkan eksekusi kode arbitrer tanpa autentikasi melalui mekanisme yang tidak biasa, yaitu manipulasi direktori penyimpanan dan penyalahgunaan sistem sesi berbasis filesystem. Celah ini merupakan kelanjutan dari perbaikan yang tidak lengkap terhadap kerentanan sebelumnya, CVE-2026-33509, dan menunjukkan bagaimana kontrol akses yang tidak komprehensif dapat membuka jalur eksploitasi baru yang signifikan.

Masalah utama berakar pada opsi konfigurasi bernama storage_folder yang tidak dimasukkan dalam daftar parameter sensitif yang dibatasi hanya untuk admin. Dalam implementasi sebelumnya, pengembang telah memperkenalkan mekanisme pembatasan melalui sebuah set bernama ADMIN_ONLY_OPTIONS untuk mencegah pengguna non-admin mengubah konfigurasi kritikal. Namun, storage_folder tidak termasuk dalam daftar tersebut. Akibatnya, pengguna dengan kombinasi izin tertentu masih dapat mengubah lokasi penyimpanan file unduhan tanpa pembatasan yang memadai.

Dalam konteks ini, eksploitasi membutuhkan seorang pengguna non-admin yang memiliki dua jenis izin, yaitu SETTINGS dan ADD. Kedua izin ini bersifat independen dan dapat diberikan secara bersamaan oleh administrator. Dengan izin SETTINGS, pengguna dapat mengubah konfigurasi storage_folder. Sementara itu, izin ADD memungkinkan pengguna untuk menambahkan URL unduhan. Kombinasi ini menjadi fondasi utama dalam rantai serangan.

Eksploitasi dimulai dengan mengarahkan storage_folder ke direktori yang digunakan oleh sistem sesi Flask, yang secara default berada di jalur seperti /tmp/pyLoad/flask dalam deployment berbasis Docker. Jalur ini lolos dari mekanisme validasi karena tidak berada dalam direktori yang dibatasi seperti PKGDIR atau userdir. Validasi yang ada hanya memeriksa apakah path hasil realpath berada dalam dua direktori tersebut, sehingga direktori sesi Flask tetap dapat diakses.

Selanjutnya, penyerang menghitung nama file sesi yang akan ditargetkan. Sistem sesi Flask yang digunakan oleh pyLoad dikonfigurasi dengan SESSION_TYPE = "filesystem" dan memanfaatkan cachelib FileSystemCache untuk menyimpan sesi. File sesi disimpan menggunakan hash MD5 dari string yang menggabungkan prefix default "session:" dengan session_id. Dengan mengetahui pola ini, penyerang dapat menentukan nama file sesi yang valid secara deterministik.

Tahap berikutnya melibatkan pembuatan payload berbahaya menggunakan serialisasi Python melalui modul pickle. Payload ini dirancang untuk mengeksekusi perintah sistem ketika dide-serialisasi. Dalam contoh yang diuji, payload tersebut menulis hasil perintah id ke dalam file tertentu sebagai bukti eksekusi. File payload kemudian di-host oleh penyerang dan diunduh oleh pyLoad melalui mekanisme normal unduhan, yang menyimpannya ke direktori storage_folder yang telah dimanipulasi, yaitu direktori sesi Flask.

Yang membuat kerentanan ini semakin signifikan adalah tahap akhir eksploitasi yang tidak memerlukan autentikasi. Setelah file sesi berbahaya berhasil ditempatkan di direktori yang tepat, penyerang hanya perlu mengirimkan permintaan HTTP dengan cookie sesi yang sesuai. Ketika aplikasi memproses permintaan tersebut, Flask akan memuat file sesi berdasarkan session_id yang diberikan. Proses ini melibatkan deserialisasi menggunakan pickle.load(), yang secara langsung mengeksekusi payload berbahaya.

Hasil akhirnya adalah eksekusi kode arbitrer dengan hak akses proses pyLoad. Dalam pengujian yang dilakukan pada image Docker lscr.io/linuxserver/pyload-ng:latest, eksploitasi ini berhasil dijalankan dan menunjukkan bahwa penyerang dapat menjalankan perintah sistem, membaca variabel lingkungan, mengakses sistem file, dan berpotensi melakukan pivot ke sumber daya jaringan lain. Fakta bahwa trigger akhir tidak memerlukan autentikasi meningkatkan tingkat risiko secara signifikan.

Dari perspektif desain sistem, kerentanan ini menunjukkan kelemahan dalam pendekatan validasi path yang hanya berfokus pada pembatasan direktori tertentu tanpa mempertimbangkan direktori sensitif lain yang digunakan secara internal oleh aplikasi atau dependensinya. Dalam kasus ini, direktori sesi Flask menjadi target yang ideal karena file di dalamnya secara otomatis diproses oleh aplikasi.

Selain itu, penggunaan pickle untuk deserialisasi data yang tidak terpercaya merupakan praktik yang dikenal berisiko tinggi. Pickle tidak dirancang untuk keamanan dan dapat mengeksekusi kode arbitrer selama proses deserialisasi. Ketika digabungkan dengan kemampuan menulis file ke lokasi yang diproses otomatis, risiko eksploitasi meningkat secara drastis.

Sebagai langkah mitigasi, disarankan untuk menambahkan storage_folder ke dalam daftar ADMIN_ONLY_OPTIONS agar hanya dapat dimodifikasi oleh administrator. Alternatif lain adalah memperluas validasi path untuk mencegah penulisan ke direktori sementara yang secara otomatis dikonsumsi oleh aplikasi, termasuk direktori sesi Flask, cache bytecode Jinja, dan direktori sementara pyLoad. Perbaikan tambahan juga mencakup koreksi nama opsi konfigurasi yang sebelumnya salah, seperti ssl_cert dan ssl_key yang seharusnya menggunakan nama ssl_certfile dan ssl_keyfile.

Kasus ini menyoroti pentingnya pendekatan holistik dalam pengamanan aplikasi, terutama dalam sistem yang memungkinkan konfigurasi dinamis oleh pengguna. Kontrol akses yang tidak lengkap, validasi input yang terbatas, dan penggunaan mekanisme deserialisasi yang tidak aman dapat saling berinteraksi dan menciptakan jalur eksploitasi yang kompleks namun efektif.

Bagi praktisi keamanan dan developer, temuan ini menjadi pengingat bahwa kerentanan tidak selalu berasal dari satu kesalahan tunggal, melainkan dari kombinasi beberapa asumsi yang tidak divalidasi secara menyeluruh. Dalam konteks pyLoad, celah ini muncul dari interaksi antara kontrol akses, manajemen path, dan mekanisme penyimpanan sesi. Tanpa evaluasi menyeluruh terhadap bagaimana komponen-komponen ini saling berinteraksi, risiko seperti ini dapat dengan mudah terlewatkan.

Dengan semakin banyaknya aplikasi yang mengandalkan komponen pihak ketiga seperti Flask dan cachelib, pemahaman terhadap bagaimana komponen tersebut bekerja secara internal menjadi semakin penting. Kerentanan ini menunjukkan bahwa bahkan konfigurasi default yang tampak aman dapat menjadi titik lemah jika tidak dipertimbangkan dalam model ancaman secara menyeluruh.

References:

NVD-NIST

Github Rep

Kerentanan Kritis CVE-2026-5281 di Google Chrome: Bug Use-After-Free Picu Risiko Eksekusi Kode Jarak Jauh

Kerentanan baru dengan kode CVE-2026-5281 ditemukan pada browser populer Google Chrome, menyoroti kembali risiko serius yang dapat muncul dari kesalahan manajemen memori dalam perangkat lunak modern. Bug ini diklasifikasikan sebagai use-after-free, sebuah jenis kerentanan yang terjadi ketika program masih mencoba mengakses memori yang telah dibebaskan. Dalam konteks ini, celah tersebut berada pada komponen Dawn di Chrome dan berpotensi dimanfaatkan untuk eksekusi kode arbitrer oleh penyerang.

Berdasarkan informasi dari National Vulnerability Database (NVD), kerentanan ini memengaruhi versi Chrome sebelum 146.0.7680.178. Eksploitasi hanya dapat dilakukan jika penyerang telah lebih dulu berhasil mengompromikan proses renderer, yang merupakan bagian dari arsitektur sandbox Chrome yang bertugas menangani konten web. Setelah mendapatkan akses tersebut, penyerang dapat menyisipkan halaman HTML yang dirancang secara khusus untuk memicu kondisi use-after-free dan mengeksekusi kode berbahaya di sistem target.

Meskipun analisis resmi dari NVD terkait skor CVSS belum tersedia pada saat laporan ini ditulis, data dari sumber lain, termasuk Cybersecurity and Infrastructure Security Agency, memberikan gambaran tingkat keparahan yang signifikan. Skor CVSS v3.1 tercatat sebesar 8.8 dengan kategori High. Vektor serangan menunjukkan bahwa eksploitasi dapat dilakukan melalui jaringan tanpa memerlukan autentikasi, dengan kompleksitas rendah, namun tetap membutuhkan interaksi pengguna. Dampak dari kerentanan ini mencakup aspek kerahasiaan, integritas, dan ketersediaan sistem secara menyeluruh.

Secara teknis, kerentanan ini termasuk dalam kategori Common Weakness Enumeration dengan ID CWE-416, yang merujuk pada use-after-free. Jenis bug ini sering kali menjadi target eksploitasi tingkat lanjut karena dapat memungkinkan manipulasi memori secara langsung. Dalam banyak kasus, eksploitasi use-after-free digunakan sebagai langkah awal untuk mencapai remote code execution (RCE), terutama jika dikombinasikan dengan teknik bypass sandbox atau privilege escalation.

Yang menarik, eksploitasi terhadap CVE-2026-5281 tidak berdiri sendiri. Penyerang harus terlebih dahulu melewati lapisan perlindungan awal Chrome dengan mengompromikan renderer process. Ini menunjukkan bahwa serangan kemungkinan melibatkan rantai eksploitasi yang lebih kompleks, bukan sekadar satu celah tunggal. Namun demikian, setelah tahap awal ini berhasil, dampaknya bisa sangat signifikan karena memungkinkan kontrol penuh terhadap proses yang berjalan.

Kerentanan ini berdampak pada berbagai sistem operasi yang menjalankan Chrome, termasuk macOS, Linux, dan Windows. Hal ini menegaskan bahwa cakupan risiko tidak terbatas pada satu platform tertentu, melainkan bersifat lintas ekosistem. Pengguna individu, organisasi, hingga lingkungan enterprise yang mengandalkan Chrome sebagai browser utama berpotensi terdampak jika tidak segera melakukan pembaruan.

Sebagai respons terhadap temuan ini, vendor telah merilis pembaruan keamanan yang memperbaiki kerentanan tersebut pada versi 146.0.7680.178 dan yang lebih baru. Otoritas keamanan siber juga merekomendasikan agar pengguna segera mengaplikasikan patch yang tersedia. Dalam beberapa kasus, jika mitigasi tidak dapat diterapkan, langkah alternatif seperti menghentikan penggunaan produk menjadi pertimbangan, terutama dalam lingkungan dengan tingkat risiko tinggi.

Selain itu, CVE-2026-5281 juga telah masuk dalam daftar prioritas dengan tenggat waktu mitigasi yang relatif singkat, yakni hingga pertengahan April 2026. Ini menunjukkan bahwa kerentanan tersebut dianggap memiliki potensi dampak yang signifikan dan membutuhkan penanganan segera. Praktik terbaik yang disarankan mencakup penerapan patch, pemantauan aktivitas sistem, serta evaluasi terhadap kemungkinan adanya indikasi kompromi.

Dari perspektif keamanan yang lebih luas, kasus ini kembali menegaskan pentingnya pengelolaan memori yang aman dalam pengembangan perangkat lunak. Use-after-free bukanlah jenis kerentanan baru, namun tetap relevan dan berbahaya karena kompleksitasnya serta potensi eksploitasi yang tinggi. Dalam ekosistem browser modern yang menangani berbagai jenis konten dinamis, kesalahan kecil dalam pengelolaan resource dapat membuka celah besar bagi penyerang.

Bagi praktisi keamanan, CVE-2026-5281 memberikan contoh nyata bagaimana kerentanan pada layer rendah seperti manajemen memori dapat berdampak langsung pada keamanan pengguna akhir. Sementara itu, bagi developer, ini menjadi pengingat bahwa pendekatan defensif dalam pengelolaan memori, termasuk penggunaan bahasa pemrograman yang lebih aman atau penerapan mekanisme proteksi tambahan, menjadi semakin penting.

Dengan semakin meningkatnya kompleksitas aplikasi web dan browser, potensi munculnya kerentanan serupa kemungkinan akan tetap ada. Oleh karena itu, kombinasi antara pembaruan rutin, monitoring aktif, dan kesadaran terhadap ancaman menjadi kunci dalam mengurangi risiko eksploitasi di dunia nyata. CVE-2026-5281 bukan hanya sekadar bug teknis, tetapi juga refleksi dari tantangan berkelanjutan dalam menjaga keamanan perangkat lunak yang digunakan secara luas.

Indonesia Siapkan Strategi “Sign and Prepare” untuk Konvensi PBB Anti Kejahatan Siber

Pemerintah Indonesia melalui Kementerian Koordinator Bidang Politik dan Keamanan menggelar rapat koordinasi tingkat nasional guna menentukan arah kebijakan strategis terkait penandatanganan dan ratifikasi Konvensi Perserikatan Bangsa-Bangsa Melawan Kejahatan Siber atau UN Convention against Cybercrime. Pertemuan yang berlangsung di Bogor pada Kamis, 12 Maret 2026 ini menjadi bagian dari langkah pemerintah untuk memastikan posisi Indonesia dalam arsitektur tata kelola siber global tetap relevan dan berdaulat.

Rapat tersebut dipimpin oleh Adi Winarso selaku Asisten Deputi Koordinasi Kerja Sama Multilateral Kemenko Polkam. Dalam pembukaan, ia menegaskan bahwa Indonesia berada dalam posisi strategis secara diplomatik karena telah memainkan peran penting sebagai Rapporteur dalam Komite Ad Hoc PBB sejak 2019. Peran ini tidak hanya mencerminkan tingkat kepercayaan komunitas internasional, tetapi juga menempatkan Indonesia sebagai aktor kunci dalam proses perumusan norma global terkait kejahatan siber.

Menurut Adi, posisi tersebut membawa konsekuensi yang tidak ringan. Indonesia dihadapkan pada kebutuhan untuk segera menentukan sikap sebelum tenggat waktu penandatanganan konvensi berakhir pada 31 Desember 2026. Keterlambatan dalam mengambil keputusan dinilai dapat berdampak langsung terhadap posisi tawar Indonesia di tingkat global. Jika melewati batas waktu tersebut, Indonesia hanya dapat bergabung melalui mekanisme aksesi, yang secara praktis menempatkan negara sebagai penerima aturan yang telah ditentukan oleh pihak lain, bukan sebagai pihak yang ikut membentuknya.

Dalam konteks ini, Kemenko Polkam mengusulkan pendekatan kebijakan yang disebut sebagai strategi “Sign and Prepare”. Strategi ini dirancang sebagai solusi pragmatis untuk menyeimbangkan kebutuhan diplomasi internasional dengan kesiapan regulasi domestik. Melalui pendekatan ini, Indonesia akan melakukan penandatanganan konvensi sebagai bentuk komitmen politik di forum internasional sebelum akhir 2026, sembari memberikan waktu bagi kementerian dan lembaga terkait untuk menyelaraskan kerangka hukum nasional sebelum proses ratifikasi dilakukan.

Langkah harmonisasi regulasi menjadi salah satu isu krusial yang dibahas dalam rapat tersebut. Penyesuaian diperlukan agar ketentuan dalam konvensi internasional dapat diintegrasikan secara efektif ke dalam sistem hukum nasional. Hal ini mencakup sinkronisasi dengan Kitab Undang-Undang Hukum Pidana yang baru, Undang-Undang Pelindungan Data Pribadi, serta rencana revisi Kitab Undang-Undang Hukum Acara Pidana, khususnya dalam aspek pembuktian digital lintas yurisdiksi. Tantangan utama terletak pada bagaimana memastikan bahwa standar internasional dapat diadopsi tanpa mengorbankan prinsip kedaulatan hukum nasional.

Selain aspek hukum domestik, diskusi juga menyoroti dimensi geopolitik ruang siber yang semakin kompleks. Narasumber dari Kementerian Luar Negeri Republik Indonesia, termasuk perwakilan Direktorat Keamanan Internasional dan Perlucutan Senjata serta Direktorat Hukum dan Perjanjian Politik, Keamanan, dan Kewilayahan, memaparkan dinamika global yang memengaruhi pembentukan konvensi tersebut. Mereka menekankan bahwa ruang siber kini menjadi arena kompetisi kepentingan antarnegara, sehingga setiap keputusan yang diambil harus mempertimbangkan implikasi jangka panjang terhadap posisi Indonesia dalam ekosistem global.

Dalam pemaparan tersebut, dibahas pula prosedur hukum internasional yang harus ditempuh agar Indonesia dapat melakukan penandatanganan pada momentum strategis, termasuk di Markas Besar PBB di New York. Momentum ini dinilai penting tidak hanya dari sisi simbolik, tetapi juga sebagai sarana untuk memperkuat legitimasi Indonesia sebagai negara yang aktif berkontribusi dalam pembentukan norma global terkait keamanan siber.

Rapat koordinasi ini melibatkan berbagai pemangku kepentingan lintas sektor. Hadir dalam forum tersebut perwakilan dari sejumlah institusi strategis, termasuk Kejaksaan Agung Republik Indonesia, Mahkamah Agung Republik Indonesia, Badan Siber dan Sandi Negara, serta Badan Intelijen Negara. Selain itu, partisipasi juga datang dari aparat penegak hukum seperti Mabes Polri, serta lembaga pengawas dan regulator seperti PPATK dan OJK. Kehadiran berbagai pihak ini mencerminkan bahwa isu kejahatan siber tidak lagi terbatas pada domain teknis, melainkan telah menjadi persoalan lintas sektor yang mencakup aspek hukum, ekonomi, dan keamanan nasional.

Koordinasi lintas institusi menjadi kunci dalam memastikan bahwa kebijakan yang diambil bersifat komprehensif dan implementatif. Setiap lembaga memiliki perspektif dan kepentingan yang berbeda, mulai dari penegakan hukum, perlindungan data, hingga stabilitas sistem keuangan. Oleh karena itu, forum seperti ini menjadi ruang penting untuk menyatukan pandangan dan merumuskan langkah yang terintegrasi.

Hasil dari rapat koordinasi ini akan dirumuskan menjadi rekomendasi kebijakan yang akan disampaikan kepada menteri terkait oleh Menko Polkam. Rekomendasi tersebut diharapkan dapat menjadi dasar dalam pengambilan keputusan strategis pemerintah, khususnya dalam menentukan waktu dan mekanisme penandatanganan konvensi. Lebih jauh, langkah ini juga diharapkan mampu memastikan bahwa partisipasi Indonesia dalam konvensi tersebut benar-benar memberikan manfaat nyata bagi masyarakat.

Salah satu tujuan utama dari keterlibatan Indonesia dalam Konvensi PBB Melawan Kejahatan Siber adalah untuk meningkatkan kapasitas dalam menghadapi ancaman kejahatan transnasional. Fenomena seperti judi online, penipuan daring, dan berbagai bentuk kejahatan digital lainnya terus berkembang dengan memanfaatkan celah lintas batas negara. Tanpa kerja sama internasional yang efektif, penegakan hukum terhadap kejahatan semacam ini akan menghadapi kendala signifikan, terutama dalam hal yurisdiksi dan pertukaran bukti digital.

Namun demikian, pemerintah juga menekankan pentingnya menjaga keseimbangan antara penegakan hukum dan perlindungan hak asasi manusia. Setiap kebijakan yang diambil harus memastikan bahwa upaya pemberantasan kejahatan siber tidak mengorbankan kebebasan sipil dan privasi individu. Prinsip ini menjadi bagian integral dari posisi Indonesia dalam berbagai forum internasional, termasuk dalam pembahasan konvensi ini.

Di sisi lain, isu kedaulatan digital juga menjadi perhatian utama. Dalam konteks global yang semakin terhubung, negara-negara menghadapi tantangan untuk mempertahankan kontrol atas data dan infrastruktur digital mereka. Konvensi internasional seperti ini berpotensi memengaruhi bagaimana data lintas negara diakses dan digunakan, sehingga diperlukan kehati-hatian dalam menyusun komitmen internasional.

Dengan tenggat waktu yang semakin dekat, keputusan Indonesia terkait penandatanganan Konvensi PBB Melawan Kejahatan Siber akan menjadi indikator penting arah kebijakan nasional di bidang keamanan digital. Strategi “Sign and Prepare” yang diusulkan mencerminkan upaya untuk tidak hanya merespons tekanan waktu, tetapi juga memastikan bahwa setiap langkah yang diambil didasarkan pada kesiapan yang matang.

Ke depan, efektivitas implementasi kebijakan ini akan sangat bergantung pada konsistensi koordinasi antar lembaga serta kemampuan pemerintah dalam menerjemahkan komitmen internasional ke dalam regulasi yang operasional. Dalam lanskap ancaman siber yang terus berkembang, pendekatan yang adaptif dan berbasis kolaborasi menjadi faktor penentu dalam menjaga keamanan dan kedaulatan digital Indonesia.

CVE-2026-2699 dan CVE-2026-2701: Eksploitasi Kritis ShareFile Memungkinkan RCE Tanpa Autentikasi

Peneliti keamanan dari watchTowr Labs mengungkap rantai eksploitasi kritis yang menargetkan ShareFile Storage Zone Controller milik Progress Software, sebuah komponen on-premises yang banyak digunakan sebagai gateway berbagi file di lingkungan enterprise dan sektor yang diatur secara ketat. Temuan ini mengungkap dua kerentanan dengan dampak serius yang memungkinkan penyerang mendapatkan kontrol penuh atas server tanpa memerlukan autentikasi sama sekali.

Kerentanan tersebut dilacak sebagai CVE-2026-2699 dan CVE-2026-2701. Kombinasi keduanya membuka jalur eksploitasi yang memungkinkan Remote Code Execution (RCE) secara langsung, menjadikan sistem yang rentan sebagai target bernilai tinggi dalam lanskap ancaman saat ini.

Platform Managed File Transfer (MFT) dalam beberapa tahun terakhir telah menjadi sasaran utama bagi kelompok advanced persistent threat (APT) dan operator ransomware. Serangkaian insiden besar yang melibatkan solusi seperti MOVEit Transfer, Cleo Harmony, dan GoAnywhere MFT menunjukkan pola yang konsisten, di mana pelaku ancaman berfokus pada celah di gateway berbagi file sebagai pintu masuk awal ke jaringan perusahaan.

Dalam konteks ini, ShareFile Storage Zone Controller menjadi target yang sangat menarik. Diperkirakan terdapat sekitar 30.000 instance yang terekspos ke internet publik, menciptakan permukaan serangan yang luas. Sistem ini banyak digunakan oleh organisasi yang memiliki kebutuhan khusus terkait kedaulatan data atau kepatuhan regulasi, sehingga memilih deployment on-premises dibandingkan solusi cloud.

Komponen Storage Zone Controller berfungsi sebagai jembatan antara infrastruktur internal organisasi dengan antarmuka web ShareFile. Ia mengelola alur upload dan download file melalui jaringan internal, sehingga memiliki akses langsung ke data sensitif. Menariknya, kedua kerentanan yang ditemukan sepenuhnya berada pada komponen ini, sehingga deployment berbasis cloud tidak terdampak.

Rantai serangan dimulai dari celah pada panel konfigurasi administrator yang terletak di endpoint /ConfigService/Admin.aspx. Dalam kondisi normal, akses tanpa autentikasi ke endpoint ini akan menghasilkan redirect HTTP 302 ke halaman login sebagai mekanisme pengamanan standar.

Namun, peneliti menemukan kesalahan fatal dalam implementasi kode sumber berbasis C#. Pengembang diketahui mengirimkan parameter boolean bernilai false ke fungsi .Redirect(), yang menyebabkan server tidak menghentikan eksekusi halaman setelah mengirimkan redirect. Kondisi ini dikenal sebagai Execution After Redirect (EAR), sebuah kerentanan klasik namun tetap berbahaya jika tidak ditangani dengan benar.

Eksploitasi terhadap kelemahan ini relatif sederhana. Penyerang hanya perlu mencegat respons HTTP dan menghapus header Location sebelum browser memproses redirect. Dengan demikian, halaman administrator tetap dieksekusi dan ditampilkan sepenuhnya tanpa autentikasi. Hasilnya adalah akses administratif penuh terhadap sistem target.

Setelah mendapatkan akses administrator, tahap kedua eksploitasi memanfaatkan kelemahan dalam mekanisme konfigurasi penyimpanan file. Storage Zone Controller memungkinkan administrator menentukan lokasi direktori untuk menyimpan file yang diunggah. Sistem memang melakukan verifikasi terhadap kemampuan baca dan tulis pada path yang diberikan, tetapi tidak melakukan validasi apakah direktori tersebut aman atau sesuai dengan kebijakan aplikasi.

Ketiadaan validasi ini memungkinkan penyerang mengubah lokasi penyimpanan ke direktori web publik milik aplikasi, seperti C:\inetpub\wwwroot\ShareFile\StorageCenter\documentum. Dengan konfigurasi ini, setiap file yang diunggah akan langsung tersedia di webroot dan dapat diakses melalui browser.

Langkah berikutnya adalah mengunggah file ASPX berbahaya yang berfungsi sebagai web shell, namun disamarkan sebagai file biasa. Setelah file tersebut diunggah, penyerang cukup mengaksesnya melalui browser untuk mendapatkan kontrol jarak jauh penuh terhadap server. Dalam dua langkah sederhana—akses admin tanpa autentikasi dan upload file berbahaya—rantai eksploitasi berhasil diselesaikan.

Kedua kerentanan ini berdampak pada ShareFile Storage Zone Controller versi 5.x yang dibangun di atas framework ASP.NET. Peneliti mengonfirmasi keberadaan celah ini pada versi 5.12.3. Perbaikan telah dirilis oleh Progress Software dalam versi 5.12.4 pada 10 Maret 2026, meskipun tanpa pengumuman publik yang mencolok pada awalnya.

Dari perspektif operasional, kerentanan ini memiliki implikasi yang signifikan. Tidak hanya memungkinkan akses awal tanpa autentikasi, tetapi juga membuka jalur untuk eksekusi kode yang dapat digunakan untuk berbagai tujuan, mulai dari pencurian data hingga deployment ransomware. Mengingat posisi Storage Zone Controller dalam arsitektur jaringan, kompromi terhadap komponen ini dapat memberikan akses luas ke data internal organisasi.

Temuan ini juga memperkuat tren bahwa gateway file sharing dan MFT menjadi titik lemah yang terus dieksploitasi. Sistem-sistem ini sering kali berada di perbatasan antara jaringan internal dan eksternal, menjadikannya target ideal untuk mendapatkan foothold awal. Selain itu, kompleksitas konfigurasi dan kebutuhan integrasi dengan berbagai sistem lain meningkatkan risiko kesalahan implementasi.

Peneliti menekankan bahwa organisasi yang masih menjalankan versi rentan harus menganggap diri mereka berada dalam kondisi berisiko tinggi. Selain melakukan pembaruan ke versi terbaru, langkah respons insiden juga perlu dipertimbangkan, terutama jika sistem telah terekspos ke internet dalam waktu yang lama.

Pemantauan log server web menjadi salah satu indikator awal untuk mendeteksi aktivitas mencurigakan, khususnya permintaan yang menargetkan endpoint konfigurasi seperti /ConfigService/Admin.aspx. Selain itu, audit terhadap direktori webroot untuk mencari file ASPX yang tidak dikenal dapat membantu mengidentifikasi kemungkinan kompromi yang sudah terjadi.

Segmentasi jaringan juga menjadi faktor penting dalam membatasi dampak serangan. Dengan menempatkan gateway file on-premises di belakang aturan firewall yang ketat dan hanya mengizinkan akses dari host terpercaya, organisasi dapat mengurangi eksposur terhadap serangan langsung dari internet.

Kasus ini menunjukkan bagaimana kombinasi dua kelemahan yang tampak sederhana dapat menghasilkan dampak yang sangat besar ketika digabungkan dalam satu rantai eksploitasi. Lebih dari itu, ia menyoroti pentingnya validasi input dan kontrol alur eksekusi dalam pengembangan aplikasi, terutama pada komponen yang memiliki akses langsung ke data sensitif.

Dalam lanskap ancaman saat ini, kecepatan dalam menerapkan patch menjadi faktor krusial. Dengan adanya ribuan instance yang terekspos secara publik, jendela eksploitasi untuk aktor ancaman tetap terbuka selama sistem belum diperbarui. Situasi ini menempatkan organisasi dalam posisi yang rentan, terutama jika mereka mengandalkan sistem on-premises tanpa lapisan proteksi tambahan.

Eksploitasi terhadap ShareFile Storage Zone Controller menambah daftar panjang insiden yang melibatkan platform MFT. Pola yang muncul menunjukkan bahwa pelaku ancaman terus beradaptasi dan mencari celah di infrastruktur yang memiliki nilai strategis tinggi. Bagi tim keamanan, hal ini menuntut pendekatan yang lebih proaktif, tidak hanya dalam merespons kerentanan yang diketahui, tetapi juga dalam mengantisipasi bagaimana komponen kritis dapat disalahgunakan dalam skenario serangan nyata.