Aggiornamento: Arctic Wolf Osserva una Campagna di Minacce che Mira BeyondTrust Remote Support Dopo la Disponibilità del PoC di CVE-2026-1731

Riepilogo

Arctic Wolf riferisce di una campagna di minaccia in-the-wild che sfrutta un proof-of-concept disponibile pubblicamente per CVE-2026-1731 per colpire le implementazioni di BeyondTrust Remote Support e Privileged Remote Access. La vulnerabilità consente l’iniezione di comandi OS non autenticata sui sistemi interessati. L’attività osservata finora sembra concentrarsi sullo sfruttamento opportunistico dell’infrastruttura di supporto remoto esposta dopo il rilascio del PoC.

Indagine

L’indagine ha collegato comportamenti sospetti ai tentativi di sfruttamento delle istanze di BeyondTrust Remote Support autogestite vulnerabili a CVE-2026-1731. Arctic Wolf ha osservato schemi di rete e telemetria di esecuzione di comandi coerenti con lo sfruttamento in stile PoC. La segnalazione non ha rivelato ulteriori malware distribuiti o artefatti di payload successivi associati all’attività.

Mitigazione

Applica immediatamente le patch del fornitore per CVE-2026-1731 e riduci l’esposizione limitando l’accesso alla rete ai servizi BeyondTrust Remote Support solo a reti amministrative affidabili. Aumenta il monitoraggio per l’esecuzione inaspettata di comandi e comportamenti anomali nelle sessioni remote, specialmente su apparecchiature esposte a internet e interfacce di gestione.

Risposta

Se si sospetta lo sfruttamento, isola l’host interessato, conferma il livello della patch ed esegui la delimitazione forense per le prove di esecuzione di comandi OS. Ruota le credenziali potenzialmente esposte e rivedi i log di accesso remoto per sessioni non autorizzate, azioni sospette dell’operatore e attività amministrativa anomala.