Badan Keamanan Siber dan Infrastruktur AS (CISA) memerintahkan badan-badan federal pada hari Jumat untuk mengamankan jaringan BeyondTrust Remote Support mereka dari kerentanan yang dieksploitasi secara aktif dalam waktu tiga hari.
BeyondTrust menyediakan layanan keamanan identitas kepada lebih dari 20.000 pelanggan di lebih dari 100 negara, termasuk lembaga pemerintah dan 75% perusahaan Fortune 100 di seluruh dunia.
Dilacak sebagai CVE-2026-1731kerentanan eksekusi kode jarak jauh ini berasal dari kelemahan injeksi perintah OS Dan mempengaruhi Dukungan Jarak Jauh BeyondTrust 25.3.1 atau lebih lama dan Akses Jarak Jauh Istimewa 24.3.4 atau lebih lama.
Meskipun BeyondTrust melakukan patch pada semua instans SaaS Dukungan Jarak Jauh dan Akses Jarak Jauh Istimewa pada tanggal 2 Februari 2026, pelanggan lokal harus menginstal patch secara manual.
“Eksploitasi yang berhasil dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi menjalankan perintah sistem operasi dalam konteks pengguna situs,” kata BeyondTrust ketika menambal kerentanan pada tanggal 6 Februari. “Eksploitasi yang berhasil tidak memerlukan autentikasi atau interaksi pengguna dan dapat menyebabkan gangguan sistem, termasuk akses tidak sah, penyelundupan data, dan gangguan layanan.”
Hacktron, siapa menemukan kerentanannya dan secara bertanggung jawab mengungkapkannya kepada BeyondTrust pada tanggal 31 Januari, memperingatkan bahwa sekitar 11.000 instance Dukungan Jarak Jauh BeyondTrust terekspos secara online, sekitar 8.500 di antaranya merupakan penerapan di lokasi.
Pada hari Kamis, enam hari setelah BeyondTrust merilis patch keamanan CVE-2026-1731, kepala intelijen ancaman watchTowr Ryan Dewhurst melaporkan bahwa penyerang sekarang secara aktif mengeksploitasi kelemahan keamananmemperingatkan admin bahwa perangkat yang belum ditambal harus dianggap telah disusupi.
Badan-badan federal memerintahkan untuk segera menambal
Suatu hari kemudian, CISA mengkonfirmasi laporan Dewhurst, ditambahkan kerentanannya Katalog Kerentanan yang Dieksploitasi (KEV), dan memesan Badan-badan Cabang Eksekutif Sipil Federal (FCEB) akan mengamankan instansi BeyondTrust mereka pada akhir Senin, 16 Februari, sebagaimana diamanatkan oleh Petunjuk Operasional yang Mengikat (BOD) 22-01.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku siber jahat dan menimbulkan risiko signifikan bagi perusahaan federal,” badan keamanan siber AS memperingatkan. “Terapkan mitigasi sesuai instruksi vendor, ikuti panduan BOD 22-01 yang berlaku untuk layanan cloud, atau hentikan penggunaan produk jika mitigasi tidak tersedia.”
Peringatan CISA muncul setelah kelemahan keamanan BeyondTrust lainnya yang dieksploitasi untuk membahayakan sistem lembaga pemerintah AS.
Misalnya, Departemen Keuangan AS mengungkapkan hal itu dua tahun lalu jaringannya telah diretas dalam sebuah insiden terkait dengan Topan Sutrasebuah kelompok spionase dunia maya terkenal yang didukung oleh negara Tiongkok.
Silk Typhoon diyakini telah mengeksploitasi dua bug zero-day (CVE-2024-12356 dan CVE-2024-12686) untuk menerobos sistem BeyondTrust dan kemudian menggunakan kunci API yang dicuri untuk menyusupi 17 instans SaaS Dukungan Jarak Jauh, termasuk instans Departemen Keuangan.
Kelompok peretas Tiongkok juga telah menargetkan Kantor Pengawasan Aset Luar Negeri (OFAC)yang mengelola program sanksi AS, dan Komite Penanaman Modal Asing di Amerika Serikat (CFIUS)yang meninjau investasi asing untuk mengetahui risiko keamanan nasional.
Masa depan infrastruktur TI telah tiba
Infrastruktur TI modern bergerak lebih cepat dibandingkan dengan alur kerja manual.
Dalam panduan Tines baru ini, pelajari bagaimana tim Anda dapat mengurangi penundaan manual yang tersembunyi, meningkatkan keandalan melalui respons otomatis, dan membangun serta menskalakan alur kerja cerdas di atas alat yang sudah Anda gunakan.
