Asik mengobrol di platform Discord bersama teman-teman membahas terkait dengan CVE, saya teringat dulu saya pernah submit juga, akhirnya saya iseng coba mencari kabar terbaru dari hasil submit saya yang saya kirimkan beberapa tahun yang lalu dan benar saja akhirnya sudah resmi terdokumentasikan di CVE.org alias sudah resmi dipublikasikan. Ini adalah momen yang cukup spesial untuk saya karena ini adalah temuan keamanan pertama saya yang secara resmi terdaftar sebagai CVE (Common Vulnerabilities and Exposures).

Cerita Awalnya

Jauh hari sebelumnya, sekitar tahun 2023, ketika saya sedang melakukan research tentang cloud management protocol (CWMP) dan device management yang menggunakan komunikasi CWMP, saya menemukan sesuatu yang menarik pada salah satu device wireless router dari vendor Ruijie Reyee. Device ini memiliki fitur cloud controller yang memungkinkan administrator untuk mengelola device secara remote melalui komunikasi CWMP.

Setelah melakukan analisis lebih mendalam, saya menemukan bahwa komunikasi CWMP yang digunakan tidak memiliki proteksi yang cukup terhadap serangan man-in-the-middle (MITM). Ini berarti bahwa seseorang yang berada di posisi yang tepat di network bisa mengintersepsi dan memanipulasi komunikasi antara device dan cloud controller, yang pada akhirnya bisa memungkinkan arbitrary code execution pada device.

Proses Responsible Disclosure

Setelah menemukan vulnerability ini, saya tidak langsung publikasikan temuan saya. Sebaliknya, saya mengikuti proses responsible disclosure yang sangat umum untuk dilakukan, saya menghubungi tim keamanan Ruijie untuk melaporkan temuan saya, memberikan mereka waktu yang cukup untuk membuat patch sebelum saya publish findings secara publik.

Namun, sayangnya tim keamanan Ruijie tidak memberikan respon lanjutan yang signifikan setelah laporan awal saya. Mengingat severity dari vulnerability ini yang bisa mengizinkan arbitrary code execution pada device mereka, dan mengingat bahwa saya ingin masyarakat luas terutama tim IT menjadi lebih aware terhadap risiko ini, saya memutuskan untuk mengambil inisiatif sendiri melakukan disclosure.

Keputusan ini diambil dengan pertimbangan:

• Kesadaran publik — penting bagi tim IT dan security profesional untuk mengetahui vulnerability ini agar bisa melakukan mitigasi
• Severity tinggi — vulnerability yang memungkinkan RCE (Remote Code Execution) memiliki impact yang signifikan
• Lack of response — tanpa respon dari vendor, saya merasa perlu untuk disclosure agar komunitas bisa terlindungi
• Responsible approach — tetap mengikuti etika security research dengan publikasi yang detail namun tidak membuat exploit trivial

Akhirnya Terdokumentasikan

Pada tanggal 15 Desember 2025, CVE-2023-53881 akhirnya dipublikasikan secara resmi. Vulnerability ini didokumentasikan dengan deskripsi:

Man-in-the-Middle Remote Code Execution via CWMP in ReyeeOS

ReyeeOS contains an unprotected CWMP (CPE WAN Management Protocol) communication that allows attackers to intercept and manipulate device communication through a man-in-the-middle attack, enabling arbitrary command execution on Ruijie Reyee devices.

Dokumentasi teknis lebih lengkap bisa dilihat di Website Research Seclab

Apa yang Saya Pelajari

Dari pengalaman ini, ada beberapa hal yang saya pelajari:

1. Responsible Disclosure Itu Penting

Meskipun terasa lambat, proses responsible disclosure menurut saya adalah cara yang benar untuk melaporkan vulnerability. Ini memberikan pengguna atau vendor waktu untuk mitigasi sebelum dimanfaatkan dengan sangat luas.

2. Kesabaran Adalah Kunci

Proses dari menemukan vulnerability sampai CVE dipublikasikan bisa memakan waktu yang cukup lama dan dalam kasus saya ini hampir 2 tahun. Ini membutuhkan kesabaran dan konsistensi dalam menunggu.

3. Dokumentasi Adalah Investasi Jangka Panjang

Meskipun temuan ini sudah lama saya buat, dengan adanya dokumentasi resmi di CVE.org sekarang, siapapun bisa menggunakan referensi ini untuk memahami resiko dari vulnerability ini dan bagaimana cara mengamankan infrastruktur jaringan mereka.

4. Detail Teknis Penting untuk Disclosure

Tidak cukup hanya laporan singkat bahwa ada vulnerability, tetapi penting juga untuk:

• Menjelaskan bagaimana vulnerability ini bisa terjadi
• Detail langkah-langkah untuk reproduce
• Menjelaskan kemungkinan yang akan terjadi
• Memberikan PoC (proof of concept)

Rencana ke Depan

Dengan CVE pertama saya yang resmi terdokumentasikan ini, saya mulai berpikir tentang research lain yang akan saya lakukan.

Saya juga berencana untuk:

• Share lebih banyak detail teknis tentang proses research saya
• Belajar untuk sharing tentang vulnerability research methodology
• Berkolaborasi dengan security researcher lain dalam menemukan dan menganalisa vulnerability

Kesimpulan

Ini adalah momen yang berarti bagi saya karena menunjukkan bahwa research yang saya lakukan memiliki value dan kontribusi terhadap publik. CVE-2023-53881 mungkin tidak akan menjadi temuan terbesar yang pernah saya temukan, namun ini adalah pengalaman pertama dalam perjalanan saya melakukan security research.

Ini adalah hari ke 3 dari 100 hari menulis.