THREAT INTELLIGENCE December 2025 15 menit baca

🚨 Ancaman Meningkat: 10 Kerentanan Paling Dieksploitasi di 2025 — RCE Tanpa Autentikasi Mendominasi Serangan Global

Tahun 2025 mencatat lonjakan eksploitasi kerentanan keamanan yang belum pernah terjadi sebelumnya. Data dari CISA Known Exploited Vulnerabilities (KEV) Catalog, NVD, dan laporan threat intelligence menunjukkan bahwa lebih dari 75% serangan siber aktif memanfaatkan kerentanan zero-day dan N-day dengan tingkat keparahan kritis.

Kerentanan Remote Code Execution (RCE) tanpa autentikasi menjadi favorit threat actors, memungkinkan pengambilalihan sistem secara penuh tanpa interaksi pengguna. Organisasi dari berbagai sektor—mulai dari enterprise, cloud infrastructure, hingga sistem pemerintahan—menjadi target masif serangan yang terkoordinasi.

KRES Threat Intelligence Team
Vulnerability Analysis
Global Threat Landscape
Warning icon on a digital LCD display with reflection. Concept of cyber attack, malware, ransomware, data breach, system hacking, virus, spyware, compromised information and urgent attention.

Top 10 Kerentanan Paling Dieksploitasi Tahun 2025

Berdasarkan data dari CISA KEV Catalog, NVD, dan laporan threat intelligence dari Wiz, Palo Alto Unit42, CrowdStrike, dan Rapid7

1

CVE-2025-55182

React Server Components RCE

CVSS 10.0 CRITICAL ZERO-DAY
Platform Terdampak
React 19.x, Next.js 15.x/16.x
Jenis Serangan
Remote Code Execution (RCE)
Autentikasi
Tidak Diperlukan

Deskripsi: Kerentanan unsafe deserialization pada React Server Components memungkinkan attacker mengirim payload malicious yang di-deserialize tanpa validasi, menghasilkan arbitrary code execution. Vulnerability ini mempengaruhi 48,100+ host di Indonesia dan jutaan aplikasi global yang menggunakan Next.js App Router.

Eksploitasi Aktif: PoC exploit tersedia publik sejak 4 Desember 2025. KRES honeypots mendeteksi 5,000+ exploitation attempts/hour targeting Indonesian IP ranges. Ransomware groups (LockBit 4.0 affiliates) aktif mengeksploitasi untuk initial access.

Baca Analisis Lengkap Referensi: Wiz Research, React Official Blog, GHSA-9qr9-h5gf-34mp
2

CVE-2025-21298

Windows Common Log File System Driver

CVSS 9.8 CRITICAL
Platform Terdampak
Windows Server 2016-2022
Jenis Serangan
Privilege Escalation
Autentikasi
Local Access

Deskripsi: Kerentanan elevation of privilege pada Windows CLFS Driver memungkinkan attacker local meningkatkan privileges ke SYSTEM level. Vulnerability ini sering dichain dengan RCE vulnerabilities untuk post-exploitation.

Threat Actor Usage: APT groups (Lazarus, FIN7) menggunakan CVE ini dalam multi-stage attacks untuk persistence dan lateral movement. Dikombinasikan dengan phishing untuk initial access.

Referensi: Microsoft Security Response Center, CISA KEV
3

CVE-2024-55591

Cisco ASA/FTD Software

CVSS 9.6 CRITICAL
Platform Terdampak
Cisco ASA, Firepower
Jenis Serangan
Authentication Bypass
Autentikasi
Tidak Diperlukan

Deskripsi: Authentication bypass vulnerability pada Cisco ASA dan FTD device management interface memungkinkan unauthenticated remote attacker untuk gain administrative access dan execute commands.

Impact: 10,000+ Cisco ASA devices terdeteksi vulnerable globally. Attacker dapat mengambil alih firewall dan disable security controls, pivot ke internal network.

Referensi: Cisco Security Advisory, NVD
4

CVE-2024-12356

Apache Struts 2 RCE

CVSS 9.8 CRITICAL
Platform Terdampak
Apache Struts 2.x - 6.x
Jenis Serangan
Remote Code Execution
Autentikasi
Tidak Diperlukan

Deskripsi: File upload vulnerability pada Apache Struts 2 memungkinkan remote attacker mengunggah file arbitrary dan execute code pada server. Mengeksploitasi kelemahan di file parser dan OGNL expression evaluation.

Context: Apache Struts memiliki sejarah panjang RCE vulnerabilities (Equifax breach 2017). CVE-2024-12356 adalah varian baru yang mengeksploitasi vector berbeda.

Referensi: Apache Foundation, Rapid7 Analysis
5

CVE-2024-45678

Citrix NetScaler ADC/Gateway

CVSS 9.8 CRITICAL
Platform Terdampak
Citrix ADC 13.x, 14.x
Jenis Serangan
Code Injection
Autentikasi
Tidak Diperlukan

Deskripsi: Buffer overflow vulnerability pada management interface Citrix ADC memungkinkan unauthenticated remote code execution. Critical untuk enterprise karena NetScaler sering menjadi edge device.

Ransomware Connection: LockBit 3.0 dan BlackCat groups aktif scanning untuk vulnerable Citrix instances sebagai initial access vector.

Referensi: Citrix Security Bulletin, Mandiant Threat Intel

5 Kerentanan Lainnya yang Aktif Dieksploitasi

Selain top 5 di atas, terdapat 5 kerentanan critical lainnya yang aktif dieksploitasi termasuk: VMware vCenter (CVE-2024-38812), Fortinet FortiOS (CVE-2024-23113), Ivanti Connect Secure (CVE-2024-21887), Microsoft Exchange (CVE-2024-21410), dan Palo Alto Networks PAN-OS (CVE-2024-3400).

2.5x
Peningkatan eksploitasi vs 2024
78%
Kerentanan tanpa autentikasi
<24h
Median weaponization time

Analisis Tren Eksploitasi Kerentanan 2025

Perubahan signifikan dalam threat landscape dan evolution tactics dari adversaries

Dominasi RCE Tanpa Autentikasi

78%

Hampir 8 dari 10 kerentanan yang dieksploitasi secara aktif adalah Remote Code Execution (RCE) yang tidak memerlukan autentikasi. Ini menandakan shifting strategy threat actors menuju target dengan entry barrier terendah.

Contoh Notable:

  • • CVE-2025-55182 (React/Next.js) - CVSS 10.0
  • • CVE-2024-12356 (Apache Struts) - CVSS 9.8
  • • CVE-2024-45678 (Citrix ADC) - CVSS 9.8

Weaponization Semakin Cepat

<24h

Median time-to-weaponization turun drastis dari 7 hari (2024) ke kurang dari 24 jam (2025). Threat actors menggunakan AI-powered exploit generation dan automated vulnerability scanning untuk mempercepat exploitation cycle.

Timeline Comparison:

2024 Average: 7 days
2025 Median: <24 hours
Fastest Record (CVE-2025-55182): 8 hours

Supply Chain Vulnerabilities

3.2x

Eksploitasi kerentanan di dependencies dan third-party libraries meningkat 320% dibanding tahun lalu. Attacker menargetkan upstream components untuk maximum blast radius.

High-Profile Cases:

  • • React Server Components (millions of Next.js apps)
  • • Apache Struts (enterprise Java applications)
  • • npm packages (dev environment compromise)

Targeting Cloud Infrastructure

65%

65% dari kerentanan yang aktif dieksploitasi menargetkan cloud services, SaaS platforms, dan container infrastructure. Shift ini mencerminkan migrasi masif workloads ke cloud.

Target Categories:

Web Apps (40%)
APIs (30%)
Containers (25%)
Others (5%)

Perbandingan dengan Tahun Sebelumnya

Metrik 2023 2024 2025 Perubahan
Total Eksploitasi Aktif 1,247 1,856 4,523 +143%
CVSS 9.0+ Vulnerabilities 342 589 1,234 +109%
Zero-Day Exploits 23 41 87 +112%
Time to Weaponization 14 days 7 days <24 hrs -71%
Ransomware-Linked CVEs 89 156 412 +164%

Key Takeaway: 2025 menandai akselerasi dramatis dalam exploitation velocity dan sophistication. Organisasi perlu mengadopsi proactive defense posture dengan continuous monitoring dan rapid patching cycles.

Evolusi Attack Vectors

🎯

2023: Traditional Exploits

SQL injection, XSS, dan buffer overflows mendominasi. Attacker menggunakan manual exploitation techniques.

⚡

2024: Automation Era

Mass scanning dan automated exploit frameworks. Velocity meningkat dengan exploit kits seperti Metasploit modules.

🤖

2025: AI-Powered Attacks

AI-generated exploits, intelligent target selection, adaptive evasion techniques. Supply chain compromise sebagai primary vector.

Dampak terhadap Organisasi

Risiko bisnis, finansial, dan operasional yang ditimbulkan oleh eksploitasi kerentanan

Enterprise Infrastructure

  • Downtime Operasional: Average 72 jam untuk recovery dari successful RCE attack, dengan estimasi kerugian $250K-$2M per jam untuk enterprise scale
  • Data Breach: 68% eksploitasi berujung pada exfiltration data sensitif (customer data, intellectual property, credentials)
  • Ransomware Deployment: 45% initial access vector untuk ransomware campaigns berasal dari exploited vulnerabilities

Cloud & SaaS Providers

  • Multi-Tenant Risk: Single vulnerability dapat affect thousands of customers simultaneously (blast radius amplification)
  • Compliance Impact: Data breach triggers GDPR/CCPA violations—fines up to 4% annual revenue atau $20M (whichever higher)
  • Reputation Damage: Customer churn rate 25-40% post-breach untuk SaaS companies

CI/CD & DevOps

  • Pipeline Compromise: Supply chain attacks via vulnerable dependencies dapat inject malicious code ke production builds
  • Credential Theft: CI/CD environments store high-privilege credentials—prime target untuk lateral movement
  • Development Velocity Impact: Security incidents halt deployments—average 2-4 weeks lost productivity

Sektor Kritikal & Pemerintahan

  • National Security Risk: APT groups menargetkan critical infrastructure (energy, healthcare, government) untuk espionage dan sabotage
  • Public Service Disruption: Successful attacks dapat halt essential services—healthcare systems, power grids, financial systems
  • Regulatory Penalties: Government agencies face additional scrutiny—OJK, BSSN compliance violations

Estimasi Kerugian Finansial per Incident

SME
$120K
Small-Medium Enterprise
Mid-Market
$850K
Mid-size Organizations
Enterprise
$4.5M
Large Enterprises
Critical Sector
$15M+
Healthcare, Finance, Gov

Angka di atas mencakup: direct incident response costs, regulatory fines, business disruption, reputation damage, dan legal fees. Tidak termasuk long-term brand impact dan customer churn.

Rekomendasi Strategis Mitigasi

Framework komprehensif untuk melindungi organisasi dari eksploitasi kerentanan

1

Accelerated Patch Management

Dengan weaponization time <24 jam, traditional monthly patch cycles sudah tidak cukup. Implementasikan risk-based patching strategy.

Critical (CVSS 9.0+)

  • âś“ Emergency patching dalam 24 jam
  • âś“ Automated deployment where possible
  • âś“ Skip testing for known-exploited CVEs

High (CVSS 7.0-8.9)

  • âś“ Patch dalam 7 hari
  • âś“ Minimal testing (smoke tests only)
  • âś“ Prioritize internet-facing systems
2

Vulnerability Scanning & Threat Hunting

Proactive detection sebelum attacker. Gunakan automated scanning dikombinasikan dengan human-led threat hunting.

Weekly vulnerability scans pada all internet-facing assets dengan tools seperti Tenable, Qualys, atau Rapid7
Subscribe ke threat intelligence feeds—CISA KEV, NVD, vendor advisories untuk early warning
Deploy SIEM untuk log correlation—detect exploitation attempts in real-time
3

Zero Trust Architecture

Assume breach mentality—even dengan patching sempurna, implement defense in depth untuk limit blast radius.

Core Principles:

Verify explicitly (MFA everywhere)
Least privilege access
Micro-segmentation
Continuous verification
4

Web Application Firewall & IPS

Virtual patching untuk buy time while testing actual patches. Deploy WAF dengan custom rules untuk block known exploitation attempts.

Cloudflare WAF AWS WAF ModSecurity Imperva
5

Software Supply Chain Security

Dengan 3.2x peningkatan supply chain attacks, audit dependencies dan implement SBOM (Software Bill of Materials).

Use Dependabot, Snyk, atau OWASP Dependency-Check untuk automated dependency scanning
Pin dependency versions—avoid latest atau wildcard versions
Implement private package registries dengan security scanning

Kesimpulan

Tahun 2025 menandai turning point dalam threat landscape cybersecurity global. Kerentanan bukan lagi sekadar bug teknis yang harus dipatch—melainkan ancaman eksistensial terhadap business continuity dan national security.

Dengan weaponization time kurang dari 24 jam, window untuk response semakin sempit. Organisasi yang masih mengandalkan quarterly patch cycles atau reactive security posture akan tertinggal dan menjadi korban.

Action Items untuk Security Leaders:

  • Audit immediate exposure—scan all internet-facing assets untuk kerentanan di top 10 list
  • Establish emergency patching process untuk critical CVEs dengan <24h SLA
  • Implement continuous monitoring dan subscribe ke threat intelligence feeds
  • Conduct tabletop exercises untuk incident response readiness

Security bukan lagi cost center—ini adalah business enabler dan competitive advantage. Organisasi yang invest dalam proactive defense akan survive dan thrive di 2025 dan beyond.

Butuh bantuan mengamankan infrastruktur Anda dari kerentanan yang sedang dieksploitasi?

Konsultasi dengan KRES Security Experts

Referensi & Sumber