概要

BeyondTrust Remote Support (RS)およびPrivileged Remote Access (PRA)製品に影響を及ぼす重大なセキュリティ脆弱性CVE-2026-1731（CVSSスコア：9.9）が悪用され、攻撃者がネットワークの偵察やWebシェルの展開、データ盗難などを行うことが確認されました。

脆弱性の詳細

CVE-2026-1731は、WebSocketインターフェースを介してアクセス可能な「thin-scc-wrapper」スクリプトに問題があり、攻撃者がサイトユーザーのコンテキストで任意のシェルコマンドを実行できるようにしています。

被害状況

Palo Alto Networks Unit 42は、この脆弱性が米国、フランス、ドイツ、オーストラリア、カナダなどでの金融サービス、法律事務所、ハイテク産業、高等教育機関、卸売・小売業界、医療機関を対象に悪用されていると報告しています。

攻撃の手口

攻撃者は以下の方法で被害を拡大させています：

• カスタムPythonスクリプトを使用して管理者アカウントへのアクセスを取得する。
• 複数のWebシェルをディレクトリにインストールし、PHPバックドアやbashドロッパーを設置する。
• VShellやSpark RATなどのマルウェアを展開する。
• OAST（Out-of-band Application Security Testing）技術を使用して成功したコード実行と侵害システムのフィンガープリントを確認する。
• 設定ファイル、内部データベースやPostgreSQLダンプなどの機密情報をステージング、圧縮し、外部サーバーにエクスフリレートする。

対策と警告

BeyondTrustは、この脆弱性が1月31日から悪用されていることを確認しており、パッチを適用していないインターネット向けの自社ホスト環境で攻撃が見つかったとしています。

関連情報

CVE-2026-1731は、CVE-2024-12356と同様に、入力検証の問題を抱えています。CVE-2024-12356ではPostgresソフトウェアが使用されていましたが、CVE-2026-1731はBeyondTrust Remote Support (RS)およびPrivileged Remote Access (PRA)コードベースで発生しています。

まとめ

CVE-2026-1731の悪用により、金融サービスや医療機関など多くの業界が影響を受けていることから、BeyondTrust製品を使用している企業は速やかにパッチを適用し、セキュリティ対策を強化することが重要です。

---

元記事: https://thehackernews.com/2026/02/beyondtrust-flaw-used-for-web-shells.html