CISA Beri Tenggat 3 Hari untuk Tambal Celah BeyondTrust yang Dieksploitasi Aktif
Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) memerintahkan seluruh instansi federal untuk segera menambal kerentanan kritis pada sistem BeyondTrust Remote Support dalam waktu tiga hari. Langkah ini diambil setelah celah tersebut dikonfirmasi telah dieksploitasi secara aktif.
Kerentanan yang dilacak sebagai CVE-2026-1731 merupakan celah remote code execution (RCE) akibat kelemahan OS command injection. Bug ini memengaruhi BeyondTrust Remote Support versi 25.3.1 atau lebih lama, serta Privileged Remote Access versi 24.3.4 atau lebih lama.
Risiko Eksekusi Perintah Tanpa Autentikasi
Menurut penjelasan vendor, eksploitasi yang berhasil memungkinkan penyerang jarak jauh tanpa autentikasi untuk menjalankan perintah sistem operasi dalam konteks pengguna situs. Serangan ini tidak memerlukan interaksi pengguna dan berpotensi menyebabkan kompromi sistem, termasuk akses tidak sah, pencurian data, hingga gangguan layanan.
BeyondTrust telah menambal seluruh instance SaaS untuk produk Remote Support dan Privileged Remote Access pada 2 Februari 2026. Namun, pelanggan yang menggunakan implementasi on-premise diwajibkan memasang patch secara manual.
Peneliti keamanan dengan alias Hacktron yang menemukan celah ini dan melaporkannya secara bertanggung jawab pada 31 Januari memperkirakan sekitar 11.000 instance Remote Support terekspos di internet. Dari jumlah tersebut, sekitar 8.500 merupakan deployment on-premise.
Eksploitasi Aktif dan Peringatan CISA
Enam hari setelah patch dirilis, laporan intelijen ancaman mengungkap bahwa celah CVE-2026-1731 mulai dieksploitasi secara aktif. Administrator yang belum menerapkan pembaruan diperingatkan untuk mengasumsikan perangkat mereka berpotensi telah dikompromikan.
Sehari setelah laporan tersebut, CISA memasukkan kerentanan ini ke dalam katalog Known Exploited Vulnerabilities (KEV). Melalui Binding Operational Directive (BOD) 22-01, instansi Federal Civilian Executive Branch (FCEB) diwajibkan mengamankan sistem BeyondTrust mereka paling lambat Senin, 16 Februari.
CISA menegaskan bahwa kerentanan jenis ini sering menjadi vektor serangan utama bagi aktor siber berbahaya dan menimbulkan risiko signifikan terhadap infrastruktur federal. Instansi diminta mengikuti mitigasi sesuai panduan vendor atau menghentikan penggunaan produk jika tidak tersedia langkah perbaikan.
Riwayat Insiden Terkait BeyondTrust
Peringatan terbaru ini muncul di tengah rekam jejak eksploitasi terhadap produk BeyondTrust sebelumnya. Dua tahun lalu, Departemen Keuangan AS mengungkap jaringan internalnya diretas dalam insiden yang dikaitkan dengan kelompok spionase siber Silk Typhoon.
Kelompok yang diyakini didukung negara tersebut disebut memanfaatkan dua zero-day, CVE-2024-12356 dan CVE-2024-12686, untuk menembus sistem BeyondTrust. Setelah itu, mereka menggunakan kunci API yang dicuri untuk mengompromikan 17 instance Remote Support SaaS, termasuk milik Departemen Keuangan.
Selain itu, Silk Typhoon juga dilaporkan menargetkan Office of Foreign Assets Control (OFAC) serta Committee on Foreign Investment in the United States (CFIUS), dua lembaga penting yang berkaitan dengan kebijakan sanksi dan keamanan investasi asing.
Dengan eksploitasi aktif yang kini terdeteksi, tekanan terhadap instansi pemerintah untuk segera melakukan patching menjadi semakin mendesak. Organisasi yang menggunakan produk BeyondTrust, terutama dengan deployment on-premise, disarankan segera meninjau status pembaruan dan menerapkan mitigasi tanpa penundaan.
