Aktualisierung: Arctic Wolf beobachtet Bedrohungskampagne, die BeyondTrust Remote Support nach Verfügbarkeit von CVE-2026-1731 PoC ins Visier nimmt

Zusammenfassung

Arctic Wolf berichtet von einer Bedrohungskampagne, die ein öffentlich verfügbares Proof-of-Concept für CVE-2026-1731 missbraucht und auf BeyondTrust Remote Support- und Privileged Remote Access-Installationen abzielt. Die Schwachstelle ermöglicht unauthentizierte OS-Befehlsinjektion auf betroffenen Systemen. Bisher beobachtete Aktivitäten scheinen sich auf opportunistische Ausnutzung der frei zugänglichen Remote-Support-Infrastruktur nach Veröffentlichung des PoC zu konzentrieren.

Untersuchung

Die Untersuchung verknüpfte verdächtiges Verhalten mit Ausnutzungsversuchen gegen selbst gehostete BeyondTrust Remote Support-Instanzen, die für CVE-2026-1731 anfällig sind. Arctic Wolf beobachtete Netzwerk-Muster und Telemetrie zur Befehlsausführung, die konsistent mit PoC-ähnlicher Ausnutzung sind. Im Bericht wurden keine weiteren heruntergeladenen Malware oder nachfolgenden Payload-Artefakte, die mit der Aktivität in Verbindung stehen, genannt.

Abschwächung

Wenden Sie die Anbieter-Patches für CVE-2026-1731 sofort an und reduzieren Sie die Gefährdung, indem Sie den Netzwerkzugang zu BeyondTrust Remote Support-Diensten nur auf vertrauenswürdige Admin-Netzwerke beschränken. Erhöhen Sie die Überwachung auf unerwartete Befehlsausführungen und ungewöhnliches Verhalten bei Remote-Sitzungen, insbesondere bei internetfähigen Geräten und Management-Schnittstellen.

Antwort

Wenn Ausnutzung vermutet wird, isolieren Sie den betroffenen Host, prüfen Sie den Patch-Stand und führen Sie eine forensische Untersuchung auf Hinweise zur OS-Befehlsausführung durch. Rotieren Sie möglicherweise gefährdete Anmeldeinformationen und überprüfen Sie die Remote-Access-Protokolle auf unbefugte Sitzungen, verdächtige Operator-Aktionen und ungewöhnliche administrative Aktivitäten.