CISA: Celah RCE BeyondTrust Kini Dieksploitasi dalam Serangan Ransomware
Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) memperingatkan bahwa kerentanan kritis pada produk BeyondTrust kini aktif dieksploitasi dalam serangan ransomware. Celah tersebut, yang terdaftar sebagai CVE-2026-1731, memungkinkan eksekusi kode jarak jauh (remote code execution/RCE) pada sistem yang terdampak.
Kerentanan ini memengaruhi BeyondTrust Remote Support versi 25.3.1 atau lebih lama serta Privileged Remote Access (PRA) versi 24.3.4 atau sebelumnya. Jika dimanfaatkan, pelaku dapat menjalankan perintah berbahaya dari jarak jauh tanpa autentikasi.
Masuk Daftar KEV CISA
CISA memasukkan CVE-2026-1731 ke dalam katalog Known Exploited Vulnerabilities (KEV) pada 13 Februari dan memberi waktu hanya tiga hari bagi lembaga federal untuk menerapkan pembaruan keamanan atau menghentikan penggunaan produk yang rentan.
BeyondTrust pertama kali mengungkap kerentanan ini pada 6 Februari. Dalam advisory resminya, perusahaan mengklasifikasikan celah tersebut sebagai kerentanan RCE pra-autentikasi yang disebabkan oleh kelemahan injeksi perintah sistem operasi (OS command injection). Eksploitasi dapat dilakukan melalui permintaan klien yang dirancang khusus dan dikirimkan ke endpoint yang rentan.
Tidak lama setelah pengungkapan, kode proof-of-concept (PoC) beredar luas dan eksploitasi di lapangan mulai terdeteksi hampir secara langsung. Pada 13 Februari, BeyondTrust memperbarui buletinnya dan mengonfirmasi bahwa aktivitas eksploitasi telah teridentifikasi sejak 31 Januari, menjadikan CVE-2026-1731 sebagai zero-day setidaknya selama satu pekan.
Laporan dari peneliti Harsh Jaiswal bersama tim Hacktron AI turut menguatkan temuan adanya aktivitas anomali pada salah satu appliance Remote Support.
Dikaitkan dengan Kampanye Ransomware
CISA kini telah mengaktifkan indikator “Known To Be Used in Ransomware Campaigns?” pada entri KEV untuk CVE-2026-1731, menandakan bahwa celah ini telah digunakan dalam kampanye ransomware aktif.
Status ini meningkatkan urgensi mitigasi, terutama bagi organisasi yang masih menjalankan versi terdampak di lingkungan produksi.
Rekomendasi Pembaruan
Untuk pelanggan aplikasi berbasis cloud (SaaS), BeyondTrust menyatakan bahwa patch telah diterapkan otomatis pada 2 Februari, sehingga tidak memerlukan tindakan manual.
Namun, pelanggan yang menjalankan instalasi mandiri (self-hosted) diwajibkan mengambil langkah proaktif. Pengguna disarankan mengaktifkan pembaruan otomatis dan memverifikasi penerapan patch melalui antarmuka “/appliance”, atau melakukan instalasi manual jika diperlukan.
Pengguna Remote Support direkomendasikan untuk memperbarui ke versi 25.3.2. Sementara itu, pengguna Privileged Remote Access harus beralih ke versi 25.1.1 atau yang lebih baru.
Bagi organisasi yang masih menggunakan Remote Support versi 21.3 atau PRA versi 22.1, disarankan untuk melakukan peningkatan versi terlebih dahulu sebelum menerapkan patch keamanan terbaru.
Kasus ini kembali menegaskan pentingnya manajemen patch yang disiplin, terutama pada solusi akses jarak jauh yang sering menjadi target prioritas dalam serangan siber berbasis ransomware.
