Компания BeyondTrust предупредила клиентов о необходимости установки исправлений для критической уязвимости безопасности в своих программах Remote Support (RS) и Privileged Remote Access (PRA). Уязвимость может позволить злоумышленникам, не прошедшим аутентификацию, удаленно выполнять произвольный код.
Уязвимость, отслеживаемая как CVE-2026-1731, относится к типу выполнения удаленного кода до аутентификации и вызвана уязвимостью внедрения команд ОС. Ее обнаружили Харш Джайсвал и команда Hacktron AI. Уязвимость затрагивает BeyondTrust Remote Support версии 25.3.1 и ниже, а также Privileged Remote Access версии 24.3.4 и ниже.
Злоумышленники, не имеющие привилегий, могут использовать ее посредством специально сформированных клиентских запросов в рамках атак низкой сложности, не требующих взаимодействия с пользователем.
“Успешная эксплуатация может позволить удаленному злоумышленнику, не прошедшему аутентификацию, выполнять команды операционной системы от имени пользователя сайта”, — отметили в BeyondTrust. “Для успешной эксплуатации не требуется аутентификация или взаимодействие с пользователем, и это может привести к компрометации системы, включая несанкционированный доступ, утечку данных и нарушение работы сервисов”.
BeyondTrust обеспечила безопасность всех облачных систем RS/PRA ко 2 февраля 2026 года и рекомендовала всем локальным клиентам вручную установить исправления, обновившись до Remote Support версии 25.3.2 или выше и Privileged Remote Access версии 25.1.1 или выше, если автоматические обновления не включены.
“Приблизительно 11 000 экземпляров доступны из Интернета, включая облачные и локальные развертывания”, — предупредила команда Hacktron в отчете в пятницу. “Около 8500 из них — это локальные развертывания, которые остаются потенциально уязвимыми, если патчи не будут применены”.
В июне 2025 года BeyondTrust устранила уязвимость внедрения серверных шаблонов (Server-Side Template Injection) высокой степени опасности в RS/PRA, которая также могла позволить злоумышленникам, не прошедшим аутентификацию, удаленно выполнять код.
Предыдущие уязвимости BeyondTrust использовались как уязвимости нулевого дня
Хотя компания еще не сообщила, были ли злоумышленники использовали недавно исправленную уязвимость CVE-2026-1731 в реальных атаках, другие уязвимости безопасности RS/PRA от BeyondTrust становились целями в последние годы.
Например, два года назад злоумышленники использовали украденный API-ключ для компрометации 17 экземпляров Remote Support SaaS после взлома систем BeyondTrust с помощью двух уязвимостей нулевого дня в RS/PRA (CVE-2024-12356 и CVE-2024-12686).
Министерство финансов США менее чем через месяц сообщило, что его сеть была взломана в результате инцидента, который позже был связан с китайской государственной хакерской группировкой Silk Typhoon. Предполагается, что Silk Typhoon украла несекретную информацию о потенциальных санкционных действиях и другие подобные конфиденциальные документы из скомпрометированного экземпляра BeyondTrust Министерства финансов.
Кибершпионы из Китая также нацелились на Комитет по иностранным инвестициям в США (CFIUS), который рассматривает иностранные инвестиции на предмет рисков национальной безопасности, и на Управление по контролю за иностранными активами (OFAC), которое администрирует программы санкций США.
CISA добавила CVE-2024-12356 в свой каталог известных эксплуатируемых уязвимостей 19 декабря и предписала правительственным учреждениям США обеспечить безопасность своих сетей в течение недели.
BeyondTrust предоставляет услуги в области безопасности идентификации более чем 20 000 клиентов в более чем 100 странах, включая 75% компаний из списка Fortune 100 по всему миру. Remote Support — это корпоративное решение для удаленной поддержки, которое помогает ИТ-отделам удаленно устранять неполадки, в то время как Privileged Remote Access служит безопасным шлюзом, обеспечивающим соблюдение правил авторизации для конкретных систем и ресурсов.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
