アップデート: Arctic Wolf、CVE-2026-1731 PoC 公開後の BeyondTrust Remote Supportを狙う脅威キャンペーンを観測

概要

Arctic Wolfは、CVE-2026-1731の概念実証を悪用してBeyondTrustリモートサポートおよび特権リモートアクセスの展開を標的にする、野外の脅威キャンペーンを報告しています。この脆弱性は、影響を受けるシステムで認証されていないOSコマンドインジェクションを可能にします。これまでに観察された活動は、PoCリリースに続く、公開されたリモートサポートインフラストラクチャの機会的な悪用に焦点を当てているようです。

調査

調査により、自己ホスト型のBeyondTrustリモートサポートインスタンスに対するCVE-2026-1731の脆弱性を利用した攻撃の試みとの関連性が明らかになりました。Arctic Wolfは、PoCスタイルの悪用に一致するネットワークパターンとコマンド実行のテレメトリーを確認しました。報告では、この活動に関連する追加のマルウェアドロップやフォローオンペイロードアーティファクトは開示されていません。

軽減策

CVE-2026-1731のベンダーパッチを直ちに適用し、ネットワークアクセスを信頼できる管理ネットワークに制限することで、BeyondTrustリモートサポートサービスへの露出を減らしましょう。特にインターネットに接続されたアプライアンスや管理インターフェースで、予期しないコマンド実行や異常なリモートセッションの挙動に対する監視を強化してください。

対応

悪用が疑われる場合、影響を受けたホストを隔離し、パッチレベルを確認し、OSコマンド実行の証拠に対するフォレンジック調査を実施してください。潜在的に露出した資格情報を更新し、不正なセッション、疑わしいオペレーターの行動、および異常な管理活動を監査するためにリモートアクセスログを確認します。