Kabar kurang sedap kembali datang buat kalian yang mengelola infrastruktur IT perusahaan, khususnya pengguna Ivanti. Rasanya belum lama kita dengar isu keamanan, eh sekarang Ivanti kembali mewanti-wanti pelanggannya soal celah keamanan baru di solusi Endpoint Manager (EPM) mereka. Kalau dibiarkan, celah ini nggak main-main risikonya, karena bisa membiarkan penyerang mengeksekusi kode dari jarak jauh alias Remote Code Execution (RCE). Yuk, kita bedah bareng-bareng apa masalahnya.
Bagi yang belum familier, Ivanti EPM ini adalah “tulang punggung” bagi banyak tim IT. Bayangkan saja, mereka melayani lebih dari 40.000 perusahaan di seluruh dunia lewat jaringan 7.000 organisasi mitra. Software ini adalah alat all-in-one buat mengelola perangkat klien di berbagai platform, mulai dari Windows, macOS, Linux, Chrome OS, sampai perangkat IoT. Jadi, kalau ada lubang di sini, dampaknya bisa sangat masif karena menyangkut kontrol aset IT perusahaan.
Masalah utama yang baru saja diungkap ini dilacak dengan kode CVE-2025-10573. Kayaknya terdengar rumit, tapi intinya ini adalah celah keamanan kritis yang memungkinkan aktor ancaman—bahkan yang tidak terautentikasi alias nggak punya login—untuk menjalankan kode JavaScript sembarangan. Tekniknya menggunakan serangan cross-site scripting (XSS) dengan kompleksitas rendah. Yang bikin ngeri, serangan ini memang butuh interaksi pengguna, tapi interaksinya sangat minim dan seringkali tidak disadari.
Menurut penjelasan Ryan Emmons, peneliti keamanan dari Rapid7 yang melaporkan celah ini pada bulan Agustus lalu, skenarionya cukup licik. Penyerang yang punya akses (tanpa login) ke layanan web utama EPM bisa mendaftarkan endpoint palsu ke server EPM. Tujuannya? Untuk “meracuni” dashboard web administrator dengan JavaScript berbahaya. Begitunya administrator EPM melihat salah satu antarmuka dashboard yang sudah teracuni ini saat bekerja seperti biasa, interaksi pasif tersebut langsung memicu eksekusi JavaScript di sisi klien. Hasil akhirnya: penyerang bisa mengambil alih sesi administrator tersebut.
Ivanti sendiri nggak tinggal diam dan sudah merilis versi EPM 2024 SU4 SR1 untuk menambal lubang ini. Mereka juga mencatat bahwa risiko kerentanan ini seharusnya bisa ditekan secara signifikan karena, pada dasarnya, solusi Ivanti EPM itu tidak dimaksudkan untuk diekspos ke internet publik. Sepertinya ini saran standar yang masuk akal. Tapi, realita di lapangan seringkali berbeda dari teori buku manual.
Berdasarkan data dari platform pemantauan ancaman Shadowserver, kuranglebihnya masih ada ratusan instansi Ivanti EPM yang “nongkrong” di internet dan bisa diakses publik. Kebanyakan dari mereka ada di Amerika Serikat (569 instansi), Jerman (109), dan Jepang (104). Jadi, kalau server kalian termasuk yang terekspos, rasanya kalian harus segera bertindak sebelum terlambat.
Selain celah utama tadi, hari ini Ivanti juga merilis pembaruan keamanan untuk mengatasi tiga kerentanan lain dengan tingkat keparahan tinggi alias high-severity. Dua di antaranya (CVE-2025-13659 dan CVE-2025-13662) juga berpotensi membiarkan penyerang tanpa autentikasi mengeksekusi kode sembarangan pada sistem yang belum di-patch. Untungnya—atau mungkin sedikit berita baik di tengah badai—eksploitasi yang berhasil untuk celah ini juga memerlukan interaksi pengguna. Target harus terkoneksi ke server inti yang tidak terpercaya atau mengimpor file konfigurasi yang mencurigakan.
Pihak Ivanti menyatakan bahwa sampai saat ini mereka belum menyadari adanya pelanggan yang dieksploitasi oleh kerentanan-kerentanan ini sebelum pengungkapan publik dilakukan. Celah-celah ini diungkap melalui program pengungkapan yang bertanggung jawab. Namun, meskipun Ivanti belum menemukan bukti eksploitasi aktif, kita nggak boleh lengah. Sejarah mencatat bahwa celah keamanan di Ivanti EPM seringkali jadi target empuk para aktor ancaman.
Sebagai pengingat saja, awal tahun ini di bulan Maret, CISA sempat menandai tiga kerentanan kritis yang mempengaruhi peralatan EPM sebagai “dieksploitasi dalam serangan” dan memperingatkan agensi federal AS untuk mengamankan jaringan mereka dalam waktu tiga minggu. Bahkan di bulan Oktober 2024, badan keamanan siber AS tersebut kembali memerintahkan instansi pemerintah untuk menambal celah EPM lain yang sedang aktif dieksploitasi (CVE-2024-29824). Segitunya urgensi masalah ini, jadi jangan anggap remeh.
Dari perspektif praktis kami, pola serangan yang menargetkan perangkat manajemen aset seperti ini menunjukkan bahwa hacker semakin pintar mencari jalan masuk lewat pintu belakang yang sering kita anggap aman. Kira-kiranya, kalau admin saja bisa dijebak lewat dashboard yang mereka percaya, berarti tidak ada zona yang benar-benar aman tanpa zero trust. Rekan-rekanita sekalian, saran kami sangat jelas: segera terapkan patch EPM 2024 SU4 SR1 sekarang juga. Selain itu, tolong pastikan server EPM kalian tidak terekspos langsung ke internet jika tidak benar-benar mendesak, dan gunakan VPN atau pembatasan akses IP untuk mengakses dashboard admin. Lebih baik sedikit repot di awal daripada harus membereskan kekacauan akibat peretasan di kemudian hari, kan? Terimakasih sudah membaca, tetap waspada dan amankan sistem kalian!
Sumber: bleepingcomputer