概要
BeyondTrust Remote Support に対する攻撃が増えていると、Palo Alto Networks’ Unit 42 の研究者が警告しています。この脆弱性は、SpartRAT および vShell バックドアやリモート管理ツールを使用して悪用されています。
脆弱性の詳細
CVE-2026-1731 と呼ばれるこの脆弱性は、BeyondTrust Remote Support の OS コマンドインジェクションの欠陥であり、一部の古いバージョンの BeyondTrust Privileged Remote Access も影響を受ける可能性があります。攻撃者は認証情報やユーザーの操作なしでサーバー上で任意のコマンドを実行することができます。
影響範囲
この脆弱性は、金融サービス、テクノロジー、高等教育、法律サービス、医療など多岐にわたる業界で確認されています。GreyNoise の研究者は、先週末からこの脆弱性を標的とする偵察活動が開始されていると警告しています。
悪用の増加
VulnCheck の研究者によると、詳細な情報やエクスプロイトコードが公開されているため、攻撃が増えていることは驚くべきことではないとのこと。Caitlin Condon 氏は次のように述べています。「これらの脆弱な製品はリモートアクセスを可能にする設計になっており、国家レベルの攻撃者にとって持続的なアクセスを得るための魅力的な標的であり、また経済的に動機付けられたグループにとっては新しい初期アクセスの機会となっています。
対策と影響
BeyondTrust は既に一部の顧客に対してサポートを提供し、SaaS カスタマー向けにはパッチを適用しました。自己ホストされたカスタマーについては手動でパッチを適用するよう促しています。
今後の対応
CISA(米国のサイバーセキュリティとインフラセキュリティ庁)は先週、この脆弱性を「既に悪用されている脆弱性」のカタログに追加しました。