ConnectWise Tambal Celah Kritis di ScreenConnect yang Berpotensi Picu Pembajakan Sesi
ConnectWise mengeluarkan peringatan darurat bagi para pengguna platform akses jarak jauh ScreenConnect terkait penemuan celah keamanan tingkat tinggi. Kerentanan pada sistem verifikasi tanda tangan kriptografi ini berpotensi membuka celah bagi peretas untuk melakukan akses tidak sah hingga eskalasi hak istimewa (privilege escalation).
Dilacak dengan kode CVE-2026-3564, kerentanan berstatus tingkat keparahan kritis ini berdampak pada seluruh instalasi ScreenConnect versi sebelum 26.1. Perangkat lunak yang jamak diandalkan oleh penyedia layanan terkelola (MSP), departemen TI korporat, dan tim dukungan teknis ini dapat dieksploitasi oleh pelaku ancaman untuk mengekstraksi serta menyalahgunakan kunci mesin (machine keys) ASP.NET. Jika eksploitasi berhasil, peretas dapat memalsukan autentikasi sesi tanpa terdeteksi oleh sistem keamanan standar.
Risiko Manipulasi Sistem dan Langkah Mitigasi
Pihak vendor menjelaskan secara rinci bahwa kebocoran material kunci mesin memungkinkan peretas untuk memanipulasi nilai data yang dilindungi. Sistem akan secara keliru memvalidasi perintah dari peretas tersebut sebagai instruksi yang sah, yang berujung pada pengambilalihan kendali sistem ScreenConnect dari jarak jauh.
Guna memitigasi ancaman struktural ini, pembaruan ke versi 26.1 telah dirilis secara resmi. Pembaruan ini menyuntikkan sistem perlindungan kunci mesin yang jauh lebih kuat, mencakup metode penyimpanan terenkripsi dan protokol penanganan kunci yang telah disempurnakan.
Bagi pengguna instansi yang mengandalkan infrastruktur cloud-hosted dari ConnectWise, sistem telah diperbarui ke versi aman secara otomatis. Namun, peringatan keras ditujukan bagi administrator sistem yang menggunakan model penerapan on-premise di server mandiri untuk segera melakukan upgrade ke versi terbaru guna menghindari risiko intrusi.
Jejak Eksploitasi dan Klaim Serangan Siber
Meskipun sistem pemantauan ConnectWise telah mendeteksi adanya upaya penyalahgunaan material kunci mesin ASP.NET di alam liar (in the wild), perusahaan mengonfirmasi bahwa saat ini belum ada bukti konklusif yang memastikan terjadinya eksploitasi aktif yang secara spesifik menargetkan CVE-2026-3564. Oleh karena itu, belum ada Indikator Kompromi (IoC) pasti yang dapat dibagikan kepada para praktisi keamanan siber.
Meski demikian, beredar klaim di komunitas intelijen ancaman yang menyebutkan bahwa peretas tingkat lanjut telah mengeksploitasi masalah manipulasi kunci ini selama bertahun-tahun. Pola serangan ini sejalan dengan insiden sebelumnya di mana aktor ancaman tingkat negara (nation-state hackers) diketahui pernah memanfaatkan celah berbeda, yakni CVE-2025-3935, untuk mencuri kunci mesin rahasia yang digunakan oleh server ScreenConnect.
Sebagai langkah pertahanan berlapis, selain mewajibkan pembaruan perangkat lunak, administrator keamanan juga direkomendasikan untuk memperketat akses ke fail konfigurasi dan data kredensial rahasia. Pemantauan berkala terhadap log aktivitas untuk mendeteksi anomali autentikasi juga menjadi prosedur operasional standar yang tidak boleh diabaikan.
