В середине февраля 2026 года специалисты по кибербезопасности столкнулись с волной атак, использующих критическую уязвимость в популярном программном обеспечении для удалённой поддержки и привилегированного доступа от компании BeyondTrust. Уязвимость, получившая идентификатор CVE-2026-1731, позволяет злоумышленникам выполнять произвольные команды на операционной системе без какой-либо аутентификации, что уже привело к компрометации организаций в финансовом, технологическом, юридическом секторах, а также в сфере здравоохранения и высшего образования в США, Канаде, Австралии и ряде европейских стран. По данным исследователей из Palo Alto Networks Unit 42, в интернете до сих пор доступно более 16 400 незащищённых экземпляров уязвимого ПО, что делает эту угрозу одной из самых масштабных в текущем году.
Описание
Суть проблемы кроется в компоненте "thin-scc-wrapper", который обрабатывает входящие WebSocket-соединения. Во время установления соединения (handshake) скрипт анализирует значение параметра "remoteVersion", отправленное клиентом, для проверки совместимости версий. Однако механизм сравнения, использующий арифметические конструкции языка Bash, оказался уязвимым к инъекции команд. Если злоумышленник передаёт специально сформированное значение, содержащее, например, конструкцию командной подстановки "$(command)", интерпретатор Bash выполняет встроенную команду до проведения сравнения. Для успешной атаки не требуется ни учётных данных, ни взаимодействия с пользователем, что ставит её в разряд наиболее опасных.
Уязвимость получила максимально высокий рейтинг критичности по шкале CVSS v4 - 9.9 баллов. Её серьёзность и подтверждённые случаи эксплуатации в дикой среде побудили Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) внести CVE-2026-1731 в свой каталог активно эксплуатируемых уязвимостей (KEV Catalog) 13 февраля 2026 года. Этот шаг обязывает федеральные агентства США немедленно устранить проблему и служит чётким сигналом для частного сектора о необходимости срочных действий.
Аналитики Unit 42, занимающиеся расследованием инцидентов, детально изучили тактики, техники и процедуры (TTP), используемые злоумышленниками после успешного проникновения. Схема атаки следует классическому kill chain: после получения удалённого выполнения кода (RCE) злоумышленники разворачивают веб-шеллы (webshell) для сохранения доступа, проводят разведку сети, создают новые учётные записи (как локальные, так и доменные) и устанавливают дополнительные инструменты для удалённого управления, такие как AnyDesk и SimpleHelp. В ряде случаев наблюдалось использование сложных скриптов для временного захвата учётной записи основного администратора системы. Скрипт на Python, обнаруженный исследователями, на одну минуту подменял хэш пароля администратора на известный, позволяя атакующему войти в систему, после чего восстанавливал оригинальный хэш и самоуничтожался, минимизируя цифровые следы.
Особого внимания заслуживает арсенал вредоносного ПО, используемый в этих кампаниях. Среди прочего были замечены бэкдор SparkRAT, кроссплатформенный троян удалённого доступа (RAT), написанный на Go, и VShell - скрытный бэкдор для Linux, известный своими техниками уклонения от обнаружения, включая выполнение в памяти без записи на диск. Для вывода данных из сети атакующие применяли изощрённые методы, такие как DNS-туннелирование. Вместо установки прямого соединения с командным сервером (C2) злоумышленники кодировали информацию о скомпрометированной системе (например, имя хоста) в поддомен DNS-запроса и отправляли его на контролируемый домен. Такой трафик часто выглядит как легитимный и с лёгкостью обходит стандартные сетевые фильтры.
Исторический контекст делает эту ситуацию ещё более тревожной. CVE-2026-1731 является логическим продолжением уязвимости CVE-2024-12356, которая эксплуатировалась в 2024 году продвинутой постоянной угрозой (APT) Silk Typhoon (также известной как APT27) в ходе атак на высокопоставленные цели, включая Министерство финансов США. Повторное появление уязвимости в том же компоненте, пусть и в другом execution path, подчёркивает, что поверхности атаки, связанные с обработкой входящих данных в критически важных системах удалённого доступа, остаются приоритетной мишенью для опытных противников.
Компания BeyondTrust выпустила патч для устранения уязвимости. Для клиентов, использующих облачную версию SaaS, обновление было применено автоматически ещё 2 февраля 2026 года. Однако клиенты с локальным развёртыванием программного обеспечения Remote Support и Privileged Remote Access должны вручную обновиться до защищённых версий. В частности, для Remote Support требуется версия 25.3.2 или новее, а для Privileged Remote Access - 25.1.1 или новее. Клиентам на устаревших основных версиях (старше 21.3 для Remote Support и 22.1 для Privileged Remote Access) необходимо сначала выполнить апгрейд.
Помимо незамедлительного применения патчей, эксперты настоятельно рекомендуют организациям пересмотреть архитектуру безопасности систем удалённого управления. Ключевой мерой является сегментация сети и строгое ограничение доступа к административным интерфейсам подобных платформ. Идеальной практикой считается вынос таких систем в изолированные сегменты управленческой сети или обеспечение доступа к ним только через шлюзы с моделью нулевого доверия (Zero Trust Network Access, ZTNA). Такой подход, известный как «глубинная эшелонированная оборона» (defense-in-depth), позволяет минимизировать ущерб даже в случае, если в будущем будут обнаружены новые уязвимости. Текущая ситуация с CVE-2026-1731 служит суровым напоминанием о том, что своевременное обновление программного обеспечения, особенно того, что предоставляет удалённый доступ к корпоративным активам, является не рекомендацией, а обязательным условием выживания в современной цифровой среде.
Индикаторы компрометации
IPv4
- 134.122.13.34
- 138.197.14.95
- 142.111.152.50
- 155.2.215.64
- 178.128.212.209
- 179.43.146.42
- 23.162.40.187
- 37.19.221.180
- 45.61.150.96
- 70.23.0.66
- 82.29.53.187
- 82.29.72.16
- 83.138.53.139
- 85.155.186.121
- 92.223.44.134
- 98.10.233.76
Domains
- d65sb7ngveucv5k2nm508abdsjmbn7qmn.oast.pro
- q0r2e5q2dzbykcox9qmkptm12s8mwb.oastify.com
URLs
- 138.197.14.95/ws
- 144.172.103.200/4444
- 45.61.150.96/4444
- aliyundunupdate.xyz:8084/slt
- http://134.122.13.34:8979/c
- http://39uchxifap4cvgzsuirom0szrrg.d65lre9sfqnlcv49317gcis6pyjsatzho.oast.pro
- http://64.31.28.221/support
- http://82.29.53.187:8778/app_cli
- http://85.155.186.121/access
- https://64.95.10.115:23011/update.sh
- https://85.155.186.121/access/Remote%20Access-linux64-offline.tar?language=en&app=76049110434275449312180081368257747094
- https://github.com/nicocha30/ligolo-ng/releases/download/v0.8.2/ligolo-ng_agent_0.8.2_linux_amd64.tar.gz
- https://judiemkqjajsfzpidfjlowgl8nyrtd49x.oast.fun
- https://raw.githubusercontent.com/nezhahq/scripts/main/agent/install.ps1
- https://temp.sh/tQTSs/storm.exe
- https://transfer.weepee.io/7nZw7/blue.drx
SHA256
- 0ecc867ce916d01640d76ec03de24d1d23585eb582e9c48a0364c62a590548ac
- 4762e944a0ce1f9aef243e11538f84f16b6f36560ed6e32dfd9a5f99e17e8e50
- 66cceb2c2f1d9988b501832fd3b559775982e2fce4ab38fc4ffe71b74eafc726
- 679ee05d92a858b6fe70aeb6072eb804548f1732e18b6c181af122b833386afb
- 98442387d466f27357d727b3706037a4df12a78602b93df973b063462a677761
- 98a7b0900a9072bb40af579ec372da7b27af12b15868394df51fefe290ab176b
- 9f431d5549a03aee92cfd2bdbbe90f1c91e965c99e90a0c9ad5a001f4e80c350
- cc2bc3750cc5125a50466f66ae4f2bedf1cac0e43477a78ed2fd88f3e987a292
- cf83e1357eefb8bdf1542850d66d8007d620e4050b5715dc83f4a921d36ce9ce
