Агентство кибербезопасности и инфраструктурной безопасности США (CISA) официально добавило новую критическую уязвимость в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities). Это решение основано на обнаруженных доказательствах её активного использования злоумышленниками в реальных атаках. Речь идёт об уязвимости CVE-2026-1731 в решениях для удалённой поддержки и привилегированного доступа от компании BeyondTrust. Данный шаг регулятора является прямым сигналом для всех государственных учреждений США и частного сектора о необходимости срочного применения исправлений, поскольку наличие этой уязвимости в системе представляет собой непосредственную и подтверждённую угрозу.
Детали уязвиомсти
Уязвимость затрагивает два ключевых продукта BeyondTrust: BeyondTrust Remote Support (RS) и более старые версии решения Privileged Remote Access (PRA). Согласно описанию, она классифицируется как критическая уязвимость удалённого выполнения кода (RCE), не требующая аутентификации злоумышленника. Это означает, что атакующий, находящийся в любой точке мира, может отправить на уязвимый сервер специально сформированный сетевой запрос и выполнить произвольные команды операционной системы с правами пользователя, под которым работает веб-приложение. Технически проблема относится к классу CWE-78, известному как инъекция команд ОС, когда неправильная фильтрация пользовательского ввода позволяет внедрить и выполнить системные команды.
Важность этого события сложно переоценить, поскольку продукты BeyondTrust широко используются в корпоративных средах по всему миру для предоставления технической поддержки и безопасного удалённого доступа к критически важным системам, часто с высокими привилегиями. Успешная эксплуатация такой уязвимости даёт злоумышленникам практически полный контроль над сервером, на котором развёрнуто решение. Это, в свою очередь, открывает путь к дальнейшему движению по корпоративной сети, хищению учётных данных, установке программ-вымогателей или созданию точки постоянного присутствия в системе. Учитывая, что атака не требует предварительного входа в систему, она представляет особую опасность для интерфейсов, вынесенных в публичную сеть.
С точки зрения методологии атак, данная уязвимость идеально вписывается в тактику «Первоначального доступа» (Initial Access, TA0001) по фреймворку MITRE ATT&CK. Злоумышленники могут использовать её для получения первой точки опоры в сети жертвы без необходимости фишинга или использования украденных паролей. После получения доступа к командной строке атакующие, вероятно, применяют техники для закрепления в системе (Persistence, TA0003), повышения привилегий (Privilege Escalation, TA0004) и сбора учётных данных (Credential Access, TA0006). Оценка по шкале CVSS 4.0 в 9.9 баллов из 10 максимально подтверждает критичность угрозы: уязвимость эксплуатируется удалённо, не требует сложных условий или взаимодействия с пользователем и позволяет полностью скомпрометировать как конфиденциальность, так и целостность данных.
По данным BeyondTrust, уязвимы все версии продукта Remote Support вплоть до RS 25.3.1, а также версии Privileged Remote Access (PRA) вплоть до 24.3.4. Компания уже выпустила исправления, и владельцам уязвимых систем необходимо немедленно обновить своё программное обеспечение до актуальных версий. Включение CVE-2026-1731 в каталог KEV накладывает обязательства на федеральные гражданские исполнительные органы США применить патчи в строго установленные сроки, однако это же действие служит лучшей практикой для любого бизнеса по всему миру.
В качестве рекомендаций по смягчению угроз, помимо немедленного обновления, организациям следует провести инвентаризацию всех экземпляров BeyondTrust RS и PRA в своей инфраструктуре. Если немедленное обновление по какой-либо причине невозможно, необходимо рассмотреть временные меры, такие как изоляция интерфейса управления от публичного интернета, размещение его за VPN или сегментацию сети для минимизации потенциального ущерба от возможного взлома. Кроме того, командам безопасности (SOC) рекомендуется настроить правила обнаружения в своих SIEM-системах (программных комплексах для управления событиями информационной безопасности) на предмет аномальных сетевых запросов к веб-интерфейсам продуктов BeyondTrust. Активная эксплуатация в дикой природе означает, что сканеры уязвимостей и группы киберпреступников уже добавили эту CVE в свои арсеналы, поэтому промедление с установкой исправлений недопустимо и чревато серьёзными инцидентами с остановкой бизнес-процессов и утечкой конфиденциальной информации.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-1731
- https://www.beyondtrust.com/trust-center/security-advisories/bt26-02
- https://beyondtrustcorp.service-now.com/csm?id=csm_kb_article&sysparm_article=KB0023293
