Security

BeyondTrust Rilis Patch untuk Dua Celah Kritis yang Memungkinkan Bypass Autentikasi

BeyondTrust mengimbau seluruh pelanggan untuk segera memasang pembaruan keamanan setelah ditemukan dua kerentanan kritis pada solusi Remote Support (RS) dan Privileged Remote Access (PRA) yang dapat dimanfaatkan penyerang untuk melewati mekanisme autentikasi dan memperoleh akses tidak sah ke sistem.

Kedua kerentanan tersebut berpotensi memberikan akses ke appliance BeyondTrust, termasuk akun dengan hak akses tinggi, apabila sistem masih menggunakan versi yang rentan dan konfigurasi autentikasi tertentu diaktifkan.

Dua Kerentanan Kritis

Kerentanan pertama memiliki kode CVE-2026-40138 dan memengaruhi:

  • BeyondTrust Remote Support versi 25.3.2 atau sebelumnya.
  • BeyondTrust Privileged Remote Access versi 25.3.2 atau sebelumnya.

Masalah ini berasal dari kelemahan pada subsistem autentikasi (improper authentication). Penyerang tanpa hak akses dapat melewati kontrol autentikasi dan memperoleh akses ke appliance yang menjadi target, termasuk akun dengan hak administratif.

Sementara itu, kerentanan kedua, CVE-2026-40139, disebabkan oleh proses penanganan permintaan autentikasi pada BeyondTrust Remote Support yang tidak semestinya. Celah ini memungkinkan penyerang jarak jauh yang tidak terautentikasi memperoleh akses tidak sah ke sistem yang masih rentan.

BeyondTrust menyatakan bahwa eksploitasi kedua kerentanan tersebut hanya dapat dilakukan apabila konfigurasi autentikasi tertentu digunakan. Namun, perusahaan tidak mengungkapkan rincian teknisnya demi alasan keamanan.

Dua Kerentanan High Severity Lainnya

Selain dua celah kritis tersebut, BeyondTrust juga memperbaiki dua kerentanan dengan tingkat keparahan tinggi, yaitu:

  • CVE-2026-40140, yang dapat dimanfaatkan untuk menyebabkan gangguan layanan (Denial of Service/DoS).
  • CVE-2026-40141, yang berpotensi memberikan akses ke sumber daya yang seharusnya dibatasi pada sistem yang belum diperbarui.

Dalam kondisi tertentu, salah satu kerentanan tersebut juga dapat dimanfaatkan oleh pengguna yang telah terautentikasi untuk memperoleh hak akses lebih tinggi sehingga memengaruhi integritas sistem.

Pembaruan Sudah Tersedia

BeyondTrust menjelaskan bahwa seluruh pelanggan cloud telah menerima patch sejak 21 April 2026.

Sementara itu, pelanggan yang menggunakan deployment self-hosted diminta untuk:

  • memasang April Security Rollup Patch sesuai versi yang digunakan apabila tidak mengaktifkan pembaruan otomatis, atau
  • melakukan upgrade ke:
    • Remote Support 25.3.3 atau yang lebih baru.
    • Privileged Remote Access 25.3.3 atau yang lebih baru.

Hampir 2.000 Instance Masih Terpapar Internet

Berdasarkan pemantauan Shadowserver Foundation, saat ini terdapat hampir 2.000 instance BeyondTrust Remote Support dan Privileged Remote Access yang masih dapat diakses melalui internet.

Belum diketahui berapa banyak di antaranya yang telah memasang patch terbaru maupun yang merupakan honeypot untuk keperluan penelitian keamanan.

BeyondTrust Pernah Menjadi Target Serangan Besar

Walaupun BeyondTrust tidak menyebut adanya eksploitasi aktif terhadap empat kerentanan terbaru tersebut, produk perusahaan ini beberapa kali menjadi sasaran serangan siber dalam beberapa tahun terakhir.

Baru-baru ini, kerentanan CVE-2026-1731 yang memungkinkan pre-authentication remote code execution (RCE) diketahui telah dimanfaatkan untuk membangun koneksi WebSocket dan menyebarkan ransomware ke sistem yang rentan.

Selain itu, pada akhir 2024, kelompok peretas yang diduga didukung pemerintah Tiongkok, Silk Typhoon, mengeksploitasi dua zero-day BeyondTrust (CVE-2024-12356 dan CVE-2024-12686) untuk membobol sistem BeyondTrust. Penyerang kemudian menggunakan API key yang dicuri guna mengakses 17 instance BeyondTrust Remote Support SaaS, termasuk milik U.S. Treasury Department.

Serangan tersebut juga dilaporkan menargetkan Committee on Foreign Investment in the United States (CFIUS) serta Office of Foreign Assets Control (OFAC).

Administrator Disarankan Segera Memperbarui Sistem

Mengingat sifat kerentanan yang memungkinkan bypass autentikasi dan akses tidak sah ke sistem, administrator BeyondTrust disarankan segera memastikan seluruh appliance telah diperbarui ke versi terbaru, terutama untuk deployment yang dapat diakses dari internet.

Langkah ini penting untuk mengurangi risiko penyalahgunaan apabila detail teknis maupun proof-of-concept (PoC) kerentanan dipublikasikan di kemudian hari.


Sumber: BeyondTrust

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button