Kerentanan kritis remote code execution (RCE) pada produk BeyondTrust kini mulai dieksploitasi secara aktif di internet. Celah pre-authentication ini memungkinkan penyerang menjalankan perintah sistem tanpa perlu autentikasi, sehingga berpotensi menyebabkan kompromi penuh terhadap perangkat yang terdampak.
Kerentanan tersebut dilacak sebagai CVE-2026-1731 dengan skor CVSS 9,9, mendekati nilai maksimum. Celah ini memengaruhi:
- BeyondTrust Remote Support versi 25.3.1 dan sebelumnya
- BeyondTrust Privileged Remote Access versi 24.3.4 dan sebelumnya
RCE Tanpa Autentikasi dan Tanpa Interaksi Pengguna
Dalam pengumuman resminya pada 6 Februari lalu, BeyondTrust menjelaskan bahwa kerentanan dapat dipicu melalui permintaan klien yang dirancang secara khusus.
Jika berhasil dieksploitasi, penyerang jarak jauh yang tidak terautentikasi dapat mengeksekusi perintah sistem operasi dalam konteks pengguna situs (site user). Serangan ini tidak memerlukan login maupun interaksi pengguna, menjadikannya sangat berbahaya.
Dampak potensialnya mencakup:
- Akses tidak sah ke sistem
- Eksfiltrasi data
- Gangguan layanan
- Kompromi penuh terhadap appliance
BeyondTrust menyatakan bahwa seluruh instance SaaS mereka telah ditambal otomatis pada 2 Februari 2026. Namun, pelanggan yang menggunakan deployment on-premise wajib menginstal patch secara manual.
Eksploitasi Aktif Setelah PoC Dipublikasikan
Kerentanan ini pertama kali ditemukan oleh peneliti keamanan Hacktron dan dilaporkan secara bertanggung jawab pada 31 Januari.
Menurut temuan, sekitar 11.000 instance BeyondTrust Remote Support terpapar ke internet, dengan kurang lebih 8.500 di antaranya merupakan instalasi on-premise.
Situasi semakin serius setelah proof-of-concept (PoC) eksploit dipublikasikan di GitHub, menargetkan endpoint /get_portal_info. Tak lama setelah itu, aktivitas eksploitasi nyata terdeteksi di lapangan.
Ryan Dewhurst, Head of Threat Intelligence di watchTowr, mengungkap bahwa eksploitasi in-the-wild telah terdeteksi melalui sensor global mereka. Penyerang diketahui menyalahgunakan endpoint tersebut untuk mengekstrak nilai header X-Ns-Company, lalu membangun koneksi WebSocket ke perangkat target.
Melalui mekanisme ini, pelaku dapat mengeksekusi perintah pada sistem yang rentan.
Dengan adanya eksploitasi aktif, perangkat yang belum ditambal sebaiknya diasumsikan telah berisiko atau bahkan sudah terkompromi.
Rekomendasi Mitigasi
Organisasi yang menggunakan BeyondTrust Remote Support atau Privileged Remote Access versi self-hosted disarankan untuk:
- Segera menginstal patch resmi yang tersedia
- Melakukan upgrade ke versi terbaru
- Memeriksa log akses dan aktivitas WebSocket mencurigakan
- Mengaudit kemungkinan aktivitas pasca-eksploitasi
Mengabaikan patch pada kerentanan pre-authentication dengan skor setinggi ini berisiko membuka akses langsung ke infrastruktur internal organisasi.