CISA Peringatkan Celah Kritis di Sudo, Sistem Linux Terancam!

Dalam dunia keamanan siber, peringatan dari Cybersecurity and Infrastructure Security Agency (CISA) selalu menjadi perhatian besar, terutama ketika menyangkut celah keamanan yang sedang aktif dieksploitasi. Kali ini, lembaga keamanan siber Amerika Serikat tersebut mengeluarkan peringatan penting mengenai celah kritis di utilitas Sudo — sebuah alat dasar namun vital yang digunakan hampir di semua sistem Linux dan Unix-like.

Temuan ini bukan sekadar isu teknis biasa, melainkan potensi ancaman serius yang bisa memberi akses penuh (root access) kepada penyerang hanya dengan memanfaatkan kesalahan konfigurasi pada fungsi tertentu. CISA bahkan memasukkan celah ini ke dalam daftar Known Exploited Vulnerabilities (KEV), yaitu katalog khusus yang berisi daftar kerentanan yang sudah terbukti digunakan dalam serangan nyata.

 
Apa Itu Sudo dan Mengapa Celah Ini Berbahaya

Sudo adalah singkatan dari “superuser do”, sebuah perintah yang memungkinkan pengguna untuk menjalankan tugas-tugas administratif di sistem berbasis Linux dan Unix. Dalam praktiknya, hanya pengguna yang terdaftar di file “sudoers” yang boleh menggunakan perintah ini.

Namun, celah keamanan yang diberi kode CVE-2025-32463 membuat aturan tersebut bisa dilanggar. Dengan skor keparahan CVSS 9,3, ini termasuk kategori sangat berbahaya. Kerentanan ini memengaruhi Sudo versi sebelum 1.9.17p1, dan pertama kali ditemukan oleh peneliti keamanan Rich Mirch dari Stratascale pada Juli 2025.

CISA menjelaskan bahwa celah tersebut terkait dengan “inclusion of functionality from an untrusted control sphere” — istilah teknis yang berarti ada bagian kode yang tidak sepenuhnya memverifikasi sumber input. Akibatnya, penyerang lokal bisa menggunakan opsi -R (--chroot) pada Sudo untuk menjalankan perintah berbahaya sebagai pengguna root, bahkan tanpa izin resmi dari sistem.

Bayangkan jika seorang pengguna biasa dapat menjalankan perintah yang seharusnya hanya bisa dilakukan oleh administrator. Ini berarti penyerang bisa menghapus data penting, memodifikasi sistem, menanam malware, atau bahkan mengambil kendali penuh atas server.

 
Eksploitasi yang Sudah Terjadi di Dunia Nyata

Hingga kini, belum ada rincian teknis lengkap tentang bagaimana celah ini digunakan oleh para penyerang, namun CISA memastikan bahwa eksploitasi aktif sedang berlangsung. Itu berarti ada bukti bahwa celah ini sudah digunakan untuk menembus sistem di luar lingkungan uji coba.

Sudo sendiri merupakan salah satu komponen yang hampir pasti ada di setiap server Linux. Karena itu, dampak serangan dapat berskala luas, mencakup perusahaan besar, lembaga pemerintahan, hingga penyedia layanan cloud.

Selain CVE-2025-32463, CISA juga menambahkan empat celah keamanan lain ke dalam daftar KEV yang patut diwaspadai karena semuanya telah digunakan dalam serangan nyata:

• CVE-2021-21311 – Adminer
  Aplikasi manajemen database ini mengandung server-side request forgery (SSRF) yang memungkinkan penyerang mengakses informasi sensitif dari server.

  Kasus ini pertama kali dilaporkan oleh Google Mandiant pada 2022, di mana kelompok UNC2903 memanfaatkan celah tersebut untuk menargetkan AWS Instance Metadata Service (IMDS).

• CVE-2025-20352 – Cisco IOS dan IOS XE
  Celah berupa buffer overflow pada Simple Network Management Protocol (SNMP). Eksploitasi bisa menyebabkan DoS (Denial of Service) atau eksekusi kode jarak jauh (RCE).

  Cisco baru-baru ini mengonfirmasi bahwa celah ini telah digunakan secara aktif dalam serangan dunia nyata.

• CVE-2025-10035 – Fortra GoAnywhere MFT
  Terdapat kerentanan deserialisasi data tidak tepercaya, di mana penyerang dapat membuat tanda tangan lisensi palsu untuk menjalankan perintah berbahaya.

  Eksploitasi ini terdeteksi oleh watchTowr Labs dan menegaskan bahwa sistem transfer file ini menjadi target serangan baru.

• CVE-2025-59689 – Libraesva Email Security Gateway (ESG)
  Celah command injection yang dapat disisipkan melalui lampiran email terkompresi. Serangan semacam ini sangat berbahaya karena mudah dilakukan melalui pesan email biasa. Libraesva sendiri mengonfirmasi adanya serangan aktif terhadap pengguna produk mereka.
   

Langkah Mitigasi dan Tindakan Pencegahan

Mengingat ancaman yang sedang berlangsung, CISA mendesak semua lembaga pemerintah Federal Civilian Executive Branch (FCEB) serta organisasi lain yang menggunakan perangkat lunak terdampak untuk segera melakukan pembaruan keamanan (patch) sebelum 20 Oktober 2025.

Pembaruan sistem adalah langkah pertama yang paling penting untuk menutup celah tersebut. Selain itu, administrator sistem juga disarankan untuk:

• Memastikan semua server menggunakan versi terbaru Sudo (≥1.9.17p1).
• Menonaktifkan opsi chroot (-R) bila tidak diperlukan.
• Membatasi hak akses pengguna non-root dengan prinsip least privilege.
• Menerapkan pemantauan log dan audit keamanan untuk mendeteksi aktivitas mencurigakan.

Khusus bagi perusahaan yang menggunakan perangkat Cisco, Adminer, GoAnywhere, atau Libraesva, patch resmi dari vendor harus segera diinstal, karena semua kerentanan tersebut sudah terbukti dieksploitasi oleh pihak tak bertanggung jawab.

Kasus ini menunjukkan bahwa bahkan alat sederhana seperti Sudo, yang sudah ada selama puluhan tahun di dunia Unix/Linux, tetap dapat menyimpan celah berbahaya yang bisa dieksploitasi kapan saja. Dengan skor keparahan 9,3 dan sifatnya yang memungkinkan eskalasi hak akses, CVE-2025-32463 menjadi peringatan penting bagi semua pengguna Linux dan administrator sistem di seluruh dunia.

Keamanan digital bukan hanya soal perangkat lunak antivirus atau firewall, melainkan juga tentang disiplin memperbarui sistem dan memahami potensi risiko dari setiap komponen yang digunakan.