Mise à jour : Arctic Wolf observe une campagne de menace ciblant BeyondTrust Remote Support suite à la disponibilité du PoC de CVE-2026-1731

Résumé

Arctic Wolf signale une campagne de menace à l’état sauvage abusant d’une preuve de concept disponible publiquement pour CVE-2026-1731 visant les déploiements de BeyondTrust Remote Support et Privileged Remote Access. La faille permet une injection de commande OS non authentifiée sur les systèmes affectés. L’activité observée jusqu’à présent semble se concentrer sur l’exploitation opportuniste des infrastructures de support à distance exposées après la publication de la preuve de concept.

Enquête

L’enquête a lié un comportement suspect à des tentatives d’exploitation contre des instances BeyondTrust Remote Support autodéployées vulnérables à CVE-2026-1731. Arctic Wolf a noté des schémas réseau et une télémétrie d’exécution de commande cohérents avec une exploitation de type preuve de concept. Le rapport n’a pas divulgué de logiciels malveillants supplémentaires déposés ou d’artefacts de charge utile associés à l’activité.

Atténuation

Appliquez immédiatement les correctifs du fournisseur pour CVE-2026-1731 et réduisez l’exposition en limitant l’accès réseau aux services BeyondTrust Remote Support aux seuls réseaux administratifs de confiance. Augmentez la surveillance des exécutions de commandes inattendues et des comportements de session à distance anormaux, notamment sur les interfaces d’administration et appareils exposés à l’internet.

Réponse

Si une exploitation est suspectée, isolez l’hôte affecté, confirmez le niveau du correctif et effectuez un balayage médico-légal pour des preuves d’exécution de commandes OS. Faites tourner les identifiants potentiellement exposés et vérifiez les journaux d’accès à distance pour détecter des sessions non autorisées, des actions suspectes de l’opérateur et des activités administratives anormales.