Badan Keamanan Siber dan Infrastruktur AS (CISA) kembali mengeluarkan peringatan soal dua celah keamanan lama yang ternyata masih aktif dieksploitasi. Kali ini, yang jadi sasaran adalah Sitecore CMS dan Experience Platform (XP). Celah ini masuk dalam katalog Known Exploited Vulnerabilities (KEV) setelah ditemukan bukti bahwa hacker benar-benar memanfaatkannya dalam serangan dunia nyata.

Dua celah yang disorot CISA adalah:

  • CVE-2019-9874 (Skor CVSS: 9.8) – Kerentanan deserialization di modul Sitecore.Security.AntiCSRF. Tanpa perlu login, hacker bisa menjalankan kode berbahaya hanya dengan mengirimkan objek .NET yang sudah diserialisasi lewat parameter HTTP POST __CSRFTOKEN.

  • CVE-2019-9875 (Skor CVSS: 8.8) – Mirip dengan celah pertama, tetapi dalam skenario ini hacker harus sudah memiliki akses login sebelum bisa mengeksploitasinya.

Sejauh ini, belum ada informasi pasti tentang siapa pelaku dan bagaimana celah ini disalahgunakan secara luas. Namun, Sitecore sendiri sudah mengonfirmasi bahwa CVE-2019-9874 memang aktif dieksploitasi sejak Maret 2020. Sementara itu, CVE-2019-9875 belum disebutkan apakah sudah diserang atau belum.

Karena ancaman ini nyata, lembaga federal AS wajib segera menginstal patch sebelum 16 April 2025 untuk mencegah risiko serangan lebih lanjut.

Eksploitasi Baru Sasar Next.js

Sementara itu, laporan dari Akamai mengungkap ada eksploitasi baru yang mulai menyasar framework Next.js. Celah ini terdaftar sebagai CVE-2025-29927 dengan skor CVSS 9.1, menandakan tingkat bahayanya cukup tinggi.

Masalah utama di celah ini adalah bypass otorisasi. Dengan trik tertentu, hacker bisa melewati sistem keamanan middleware hanya dengan memanipulasi header “x-middleware-subrequest”. Header ini sebenarnya digunakan untuk mengelola alur permintaan internal aplikasi, tapi jika disalahgunakan, hacker bisa mendapat akses ke data sensitif tanpa izin.

Menurut pakar keamanan Raphael Silva dari Checkmarx, eksploitasi ini cukup mengkhawatirkan karena bisa mengakali sistem keamanan dengan cara yang sulit terdeteksi. Salah satu teknik yang ditemukan adalah manipulasi header x-middleware-request, di mana hacker mengisinya dengan string berulang seperti ini:

bash
src/middleware:src/middleware:src/middleware:src/middleware:src/middleware

Dengan cara ini, Next.js akan menganggap ada beberapa permintaan internal dalam satu request, sehingga logika redirect internal bisa dipaksa bekerja dengan cara yang tidak seharusnya. Teknik ini sangat mirip dengan beberapa proof-of-concept (PoC) yang sudah tersebar di internet.

Router DrayTek Jadi Target Serangan Aktif

Bukan cuma Sitecore dan Next.js yang sedang jadi sasaran. GreyNoise juga mendeteksi aktivitas eksploitasi aktif pada perangkat DrayTek. Beberapa celah yang dimanfaatkan dalam serangan ini meliputi:

  • CVE-2020-8515 (Skor CVSS: 9.8)Command injection di berbagai model router DrayTek. Hacker bisa mengeksekusi kode berbahaya dari jarak jauh sebagai root, cukup dengan menambahkan karakter khusus di URI cgi-bin/mainfunction.cgi.

  • CVE-2021-20123 (Skor CVSS: 7.5)Local File Inclusion (LFI) di DrayTek VigorConnect. Siapa pun bisa mengunduh file sistem dari router dengan hak akses root, hanya dengan memanfaatkan endpoint DownloadFileServlet.

  • CVE-2021-20124 (Skor CVSS: 7.5) – Variasi lain dari LFI di DrayTek VigorConnect, kali ini lewat endpoint WebServlet.

Serangan terhadap CVE-2020-8515 paling banyak terdeteksi di Indonesia, Hong Kong, dan Amerika Serikat. Sedangkan eksploitasi CVE-2021-20123 dan CVE-2021-20124 lebih sering terjadi di Lithuania, Amerika Serikat, dan Singapura.