概要
ハッカーは、BeyondTrustのリモートサポートソフトウェアに存在する深刻な脆弱性を悪用して、VShellバックドアとSparkRATリモートアクセストロイansomwareを展開しています。これにより、露出したシステムが完全に侵害される可能性があります。
脆弱性の詳細
CVE-2026-1731は、BeyondTrustのthin-scc-wrapperコンポーネントにおける深刻な事前認証リモートコード実行(RCE)脆弱性です。この脆弱性により、未認証の攻撃者は「site user」としてOSコマンドを実行できるため、システム全体が侵害される可能性があります。
影響範囲
CVE-2026-1731は、米国、ヨーロッパ、アジア太平洋地域の複数の業界で実際に攻撃されています。BeyondTrustは、IDとアクセス管理プラットフォームであり、リモートサポートやPrivileged Remote Access製品が広く使用されており、セキュアなリモート管理を提供しています。
攻撃の手口
攻撃者は、ネットワーク調査、アカウント作成、ウェブシェル展開、C2通信、バックドアインストール、側面移動、データ窃取など、複数段階にわたるプレイブックを使用しています。
被害業界
- 金融サービス
- 法律事務所
- ハイテク産業
- 高等教育機関
- 卸売および小売業
- 医療機関
Cortex Xpanseのデータによると、10,600以上のインターネットに露出したBeyondTrustインスタンスが脆弱性を抱えていると報告されています。
対策
BeyondTrustは顧客に対して、Remote Support 25.3.2やPRA 25.1.1以降のバージョンへのアップグレードを強く推奨しています。また、Palo Alto Networksでは、Advanced URL Filtering、Advanced DNS Security、Cortex XDR、XSIAMおよびCortex Xpanseなどのレイヤー保護を使用して、CVE-2026-1731活動の検出、露出管理、脅威ハンティングを支援しています。
まとめ
組織は、BeyondTrustアプライアンスが高リスクのエントリーポイントであると認識し、迅速なパッチ適用とともに、侵害評価、管理者インターフェースのゼロトラスト制御後の強化、およびWebシェル、SparkRAT、VShell、DNSトンネリングアーティファクトを含む継続的なモニタリングを行うべきです。