概要
セキュリティ企業BeyondTrustは、同社のリモートサポート(Remote Support, RS)および特権リモートアクセス(Privileged Remote Access, PRA)ソフトウェアに認証不要なリモートコード実行(RCE)の脆弱性(CVE-2026-1731)が存在すると警告しました。この脆弱性が悪用されると、攻撃者は認証なしにOSコマンドを実行できる可能性があります。
脆弱性の詳細
この脆弱性は、Hacktron AIチームのHarsh Jaiswal氏によって発見されたOSコマンドインジェクションの欠陥に起因します。影響を受けるのは以下のバージョンです。
- BeyondTrust Remote Support 25.3.1またはそれ以前
- BeyondTrust Privileged Remote Access 24.3.4またはそれ以前
特筆すべきは、この脆弱性が認証を必要とせず、悪意を持って作成されたクライアントリクエストを介して、ユーザーの操作なしに低複雑度で悪用され得る点です。BeyondTrustは、「悪用に成功した場合、認証されていないリモート攻撃者がサイトユーザーのコンテキストでオペレーティングシステムコマンドを実行できる可能性がある」と述べています。これにより、システムの侵害、不正なアクセス、データ流出、サービス中断などの深刻な結果を招く恐れがあります。
対応と推奨事項
BeyondTrustは、2026年2月2日までにすべてのRS/PRAクラウドシステムへのパッチ適用を完了しました。一方で、自動更新を有効にしていないオンプレミスのお客様に対しては、手動でのシステム更新を強く推奨しています。具体的には、以下のバージョンへのアップグレードが必要です。
- Remote Support 25.3.2以降
- Privileged Remote Access 25.1.1以降
Hacktronチームは、約11,000のインスタンスがインターネットに公開されており、そのうち約8,500のオンプレミス導入環境は、パッチが適用されていない場合、依然として脆弱な状態にあると警告しています。
過去の事例と背景
BeyondTrust製品の脆弱性が標的となるのは今回が初めてではありません。2025年6月には、認証不要なサーバーサイドテンプレートインジェクションの脆弱性も修正されています。また、その2年前には、攻撃者が盗まれたAPIキーを使用して17のリモートサポートSaaSインスタンスを侵害した事例がありました。この攻撃には、2つのBeyondTrust RS/PRAゼロデイ脆弱性(CVE-2024-12356およびCVE-2024-12686)が悪用され、後に米国財務省のネットワークがハッキングされ、中国政府支援のハッキンググループ「Silk Typhoon」が関与したとされています。CISAは、CVE-2024-12356を既知の悪用されている脆弱性カタログに追加し、米国の政府機関に対して1週間以内にネットワークを保護するよう命じていました。
BeyondTrustについて
BeyondTrustは、100カ国以上で20,000を超える顧客にアイデンティティセキュリティサービスを提供しており、世界のFortune 100企業の75%が含まれています。同社のRemote Supportは、ITサポートチームが問題をリモートでトラブルシューティングするためのエンタープライズグレードのソリューションであり、Privileged Remote Accessは、特定のシステムやリソースへの承認ルールを適用するセキュアなゲートウェイとして機能しています。