Badan keamanan siber Amerika Serikat, CISA, kembali mengeluarkan peringatan penting. Kali ini, dua celah keamanan pada Microsoft Office dan HPE OneView resmi dimasukkan ke dalam daftar Known Exploited Vulnerabilities (KEV). Artinya, celah ini bukan sekadar teori, tetapi sudah dimanfaatkan secara aktif oleh pihak yang tidak bertanggung jawab.

Celah pertama adalah CVE-2009-0556 yang menyerang Microsoft Office PowerPoint. Dengan tingkat keparahan tinggi (CVSS 8.8), kerentanan ini memungkinkan penyerang menjalankan kode berbahaya dari jarak jauh melalui file PowerPoint yang dirancang khusus. Jika dibuka oleh korban, sistem bisa langsung terinfeksi tanpa disadari.

Celah kedua yang lebih berbahaya adalah CVE-2025-37164 pada HPE OneView, dengan skor CVSS sempurna 10.0. Kerentanan ini memungkinkan penyerang melakukan remote code execution tanpa perlu autentikasi. HPE telah mengonfirmasi bahwa semua versi OneView sebelum versi 11.00 terdampak, dan hotfix sudah disediakan untuk versi 5.20 hingga 10.

Meski belum banyak laporan publik tentang serangan besar-besaran, risiko tetap nyata. Pada Desember 2025, perusahaan keamanan eSentire melaporkan bahwa proof-of-concept (PoC) untuk celah HPE OneView sudah beredar. Kehadiran PoC ini membuat eksploitasi menjadi jauh lebih mudah, terutama bagi sistem yang belum diperbarui.

CISA pun tidak main-main. Melalui aturan Binding Operational Directive (BOD) 22-01, lembaga pemerintah AS diwajibkan menutup celah ini paling lambat 28 Januari 2026. Bagi organisasi di luar pemerintahan, imbauannya tetap sama: segera lakukan update dan patch keamanan sebelum celah ini dimanfaatkan lebih jauh.

Singkatnya, jika Anda masih menggunakan Microsoft Office versi lama atau HPE OneView yang belum diperbarui, sekarang adalah waktu yang tepat untuk bertindak. Update sistem bukan hanya soal kepatuhan, tetapi juga langkah penting untuk menjaga keamanan operasional dan data bisnis Anda.

^{Source: https://thehackernews.com/2026/01/cisa-flags-microsoft-office-and-hpe.html}