概要

攻撃者は、自社ホスト型のBeyondTrust Remote SupportおよびPrivileged Remote Accessデプロイメントで影響を受けている深刻な脆弱性CVE-2026-1731を悪用し、未認証の攻撃者がオペレーティングシステムコマンドを注入できる状況を作り出しました。これにより、攻撃者はリモートコード実行能力を得ることができます。

脆弱性の詳細

CVE-2026-1731は、BeyondTrust Remote Support (RS)とPrivileged Remote Access (PRA)でOSコマンドインジェクションが可能な深刻な脆弱性です。この脆弱性を悪用することで、未認証の攻撃者はサイトユーザーのコンテキストでオペレーティングシステムコマンドを実行できます。

影響範囲と対策

CISAはこの脆弱性を「既知の悪用されている脆弱性（KEV）」カタログに追加し、連邦機関に対して2026年2月16日までにパッチを適用することを求めています。

技術的な分析と悪用

観察された攻撃チェーンは、未修正のBeyondTrustアプライアンスの脆弱性を悪用して始まります。これにより、SimpleHelp Remote Monitoring and Managementツールが展開され、持続性が確立されます。

影響を受けた製品と対策

• BeyondTrust Remote Support (RS): 25.3.1以前のバージョンで影響を受ける。パッチBT26-02-RS（v21.3 – 25.3.1）が必要。
• Privileged Remote Access (PRA): 24.3.4以前のバージョンで影響を受ける。パッチBT26-02-PRA（v22.1 – 24.X）が必要。

組織への対応

自社ホスト型バージョンを使用している組織は、直ちに可用なセキュリティ更新プログラムを適用する必要があります。BeyondTrustは、すべてのクラウドベースインスタンスが2026年2月2日に自動的にパッチが適用されたことを確認しています。

まとめ

CISAは、この脆弱性の成功した悪用にはユーザーの操作が必要なく、システム全体への侵害やデータ漏洩、サービス障害につながる可能性があると強調しています。組織は速やかに対策を講じるべきです。

---

元記事: https://gbhackers.com/attackers-exploit-critical-beyondtrust-flaw/