Bahaya Nih! Tidak di Patch Bisa Repot

Bahaya Nih! Tidak di Patch Bisa Repot – Dunia keamanan siber kembali dikejutkan dengan eskalasi serius yang melibatkan salah satu perangkat jaringan paling vital di lingkungan perusahaan, F5 BIG-IP.

Sebuah kerentanan keamanan yang awalnya diidentifikasi sebagai celah dengan tingkat keparahan tinggi untuk serangan Denial-of-Service (DoS), kini telah diklasifikasikan ulang menjadi ancaman Remote Code Execution (RCE) yang sangat kritis.

Berdasarkan laporan terbaru pada akhir Maret 2026, kerentanan yang dilacak sebagai CVE-2025-53521 ini telah mendapatkan skor CVSS sebesar 9.8, menempatkannya dalam kategori bahaya tertinggi.

Hal yang lebih mengkhawatirkan adalah adanya laporan mengenai eksploitasi aktif di lapangan, yang memaksa otoritas keamanan siber global untuk mengeluarkan peringatan darurat bagi seluruh organisasi yang mengandalkan platform BIG-IP untuk manajemen trafik dan keamanan aplikasi mereka.

Kronologi Perubahan Dari DoS Menuju RCE

Kerentanan ini pertama kali diungkapkan pada Oktober 2025. Pada saat itu, peneliti mengategorikannya sebagai bug DoS yang memengaruhi BIG-IP Access Policy Manager (APM), dengan skor CVSS 7.5. Mitigasi awal telah disebarkan, dan banyak organisasi menganggap ancaman ini hanya berisiko pada ketersediaan layanan.

Namun, “informasi baru yang diperoleh pada Maret 2026” mengubah segalanya. Analisis mendalam yang dilakukan oleh para peneliti menunjukkan bahwa celah ini sebenarnya memungkinkan penyerang untuk mengeksekusi kode dari jarak jauh tanpa memerlukan otentikasi.

Akibatnya, skor keparahan melonjak dari 7.5 menjadi 9.8. Meskipun detail teknis mengenai “informasi baru” tersebut tidak dipublikasikan secara mendetail untuk mencegah penyalahgunaan lebih lanjut, dampaknya sangat jelas, penyerang kini memiliki kemampuan untuk mengambil alih kontrol penuh atas perangkat yang terdampak.

Evolusi klasifikasi kerentanan seperti ini bukanlah hal baru dalam sejarah keamanan siber. Sebagai referensi tambahan, insiden serupa pernah terjadi pada beberapa kerentanan F5 sebelumnya.

Seperti CVE-2022-1388 (skor CVSS 9.8) yang melibatkan iControl REST, di mana pengamat awalnya meremehkan kemudahan eksploitasi sebelum akhirnya serangan massal terjadi secara global.

Mekanisme Eksploitasi dan Target Serangan

Peneliti mengungkapkan bahwa aktor ancaman dapat mengeksploitasi bug kritis ini dengan mengirimkan “lalu lintas berbahaya yang spesifik” ke server virtual yang dikonfigurasi dengan BIG-IP APM. Hal ini memberikan kemampuan bagi penyerang untuk menjalankan perintah pada tingkat sistem operasi.

Dalam pemantauan aktivitas terbaru, peneliti mengamati adanya aktivitas pemindaian intensif yang menargetkan endpoint API REST tertentu, yaitu:

/mgmt/shared/identified-devices/config/device-info

Endpoint ini digunakan untuk mengambil informasi tingkat sistem seperti hostname, ID mesin, dan alamat MAC dasar. Aktivitas pemindaian ini biasanya merupakan tahap awal dari serangan berantai, di mana penyerang melakukan fingerprinting untuk memetakan infrastruktur target sebelum melepaskan payload RCE yang mematikan.

Peneliti mencatat adanya deviasi minor pada payload yang diamati dalam sepekan terakhir, yang menunjukkan bahwa semakin banyak aktor ancaman yang mencoba memetakan dan mengeksploitasi infrastruktur F5 di seluruh dunia.

Berikut adalah daftar versi BIG-IP APM yang dinyatakan rentan:

Versi 17.5.0 hingga 17.5.1
Versi 17.1.0 hingga 17.1.2
Versi 16.1.0 hingga 16.1.6
Versi 15.1.0 hingga 15.1.10

Penting untuk dicatat bahwa sistem yang berjalan dalam Appliance Mode yang biasanya membatasi akses administratif tetap dinyatakan rentan terhadap celah ini.

Penanganan Global dan Respons CISA

Mengingat bukti eksploitasi aktif di lapangan, Cybersecurity and Infrastructure Security Agency (CISA) telah memasukkan celah ini ke dalam katalog Known Exploited Vulnerabilities (KEV).

Langkah ini mewajibkan lembaga pemerintah federal Amerika Serikat dan menyarankan organisasi swasta untuk segera melakukan pemutakhiran perangkat lunak dalam jangka waktu yang sangat singkat.

Peneliti keamanan menekankan bahwa platform F5 selalu menjadi target utama bagi aktor ancaman tingkat negara (nation-state actors).

Sebagai konteks, pada tahun-tahun sebelumnya, penyerang yang didukung negara telah berhasil menembus infrastruktur F5 untuk mencuri data sensitif, termasuk kode sumber (source code) platform BIG-IP.

Keberhasilan mendapatkan akses RCE pada perangkat F5 berarti penyerang mendapatkan akses ke “gerbang” jaringan, yang memungkinkan mereka untuk mengendus trafik terenkripsi, mencuri kredensial pengguna, dan melakukan pergerakan lateral (lateral movement) ke dalam jaringan internal perusahaan.

Indikator Kompromi (IoC)

Bagi organisasi yang khawatir sistem mereka telah disusupi, peneliti telah merilis daftar Indikator Kompromi (IoC) yang terkait dengan penyebaran perangkat lunak berbahaya yang dilacak sebagai c05d5254. Tanda-tanda adanya infeksi meliputi:

1. Keberadaan File Mencurigakan: Deteksi file pada disk seperti /run/bigtlog.pipe dan /run/bigstart.ltm.

2. Ketidaksesuaian Integritas File: Adanya perbedaan ukuran file, nilai hash, atau stempel waktu (timestamp) pada binari sistem yang dikenal baik, terutama pada:

/usr/bin/umount
/usr/sbin/httpd

3. Log API yang Tidak Biasa: Adanya entri log yang menunjukkan akses berulang ke endpoint /mgmt/shared/identified-devices/config/device-info dari alamat IP yang tidak dikenal atau mencurigakan.

Strategi Mitigasi dan Rekomendasi Keamanan

Tidak ada solusi jalan pintas untuk menghadapi kerentanan dengan skor 9.8. Langkah utama yang direkomendasikan adalah melakukan pembaruan ke versi perangkat lunak yang telah diperbaiki secara permanen.

Namun, bagi organisasi yang membutuhkan waktu untuk proses maintenance, peneliti menyarankan langkah-langkah darurat berikut:

Langkah-langkah Penanganan Segera

Pembaruan Perangkat Lunak: Segera instal patch terbaru dari vendor untuk versi 17.x, 16.x, dan 15.x.
Pembatasan Akses Manajemen: Pastikan antarmuka manajemen BIG-IP tidak terpapar langsung ke internet publik. Gunakan VPN atau jump host dengan otentikasi multifaktor (MFA) yang ketat.
Pemantauan Log Real-Time: Tingkatkan pengawasan pada log akses REST API dan cari pola pemindaian yang menargetkan device-info.
Audit Integritas Sistem: Gunakan alat verifikasi integritas untuk memastikan binari sistem seperti httpd tidak dimodifikasi oleh pihak ketiga.

Prinsip Pertahanan Jangka Panjang

Zero Trust Architecture: Jangan menganggap lalu lintas di dalam jaringan sebagai lalu lintas yang aman. Implementasikan segmentasi mikro untuk membatasi dampak jika satu perangkat jaringan seperti BIG-IP berhasil dikuasai.
Manajemen Aset Tier-0: Perangkat seperti F5 BIG-IP harus diperlakukan sebagai aset Tier-0 yang memerlukan pemantauan ketat, rotasi kredensial administratif secara berkala, dan isolasi jaringan yang maksimal.

Menghadapi Realitas Ancaman yang Terus Berevolusi

Kasus CVE-2025-53521 menjadi pengingat keras bahwa keamanan infrastruktur adalah proses yang dinamis. Sebuah kerentanan yang hari ini dianggap “berisiko menengah” bisa berubah menjadi “bencana siber” dalam semalam begitu informasi baru ditemukan atau metode eksploitasi baru dikembangkan oleh peretas.

Mengingat tingginya minat aktor ancaman terhadap platform F5, organisasi tidak boleh menunda proses patching. Peneliti memperingatkan bahwa dengan adanya instruksi pemindaian yang kini beredar di forum-forum bawah tanah, gelombang serangan massal kemungkinan besar akan terus meningkat.

Kecepatan dalam merespons informasi IoC dan ketegasan dalam memperbarui sistem adalah satu-satunya benteng yang dapat melindungi data perusahaan dari penyusupan yang lebih dalam.

Baca artikel lainnya: