Оновлення: Arctic Wolf спостерігає за кампанією загроз, що націлена на підтримку віддаленого доступу BeyondTrust після доступності PoC CVE-2026-1731

Резюме

Arctic Wolf повідомляє про натурну загрозу, яка використовує загальнодоступний доказ концепту для CVE-2026-1731 з метою атак на BeyondTrust Remote Support і Privileged Remote Access. Уразливість дозволяє неавторизоване впорскування команд ОС на уражених системах. Спостережена активність поки що здається зосередженою на опортуністичній експлуатації відкритої інфраструктури для віддаленої підтримки після випуску PoC.

Розслідування

Розслідування пов’язало підозрілу поведінку з спробами експлуатації проти самостійно розміщених інстанцій BeyondTrust Remote Support, вразливих до CVE-2026-1731. Arctic Wolf відзначила мережеві шаблони і телеметрію виконання команд, що відповідають експлуатації типу PoC. У звіті не було розкрито додаткових скинутих шкідливих програм або результатів діяльності, пов’язаних з цією активністю.

Пом’якшення

Негайно застосовуйте виправлення від постачальника для CVE-2026-1731 і зменшуйте ризик, обмежуючи мережевий доступ до сервісів BeyondTrust Remote Support лише довіреними адміністраторськими мережами. Підвищте рівень моніторингу для виявлення несподіваного виконання команд і ненормальної поведінки віддалених сеансів, особливо на пристроях, орієнтованих на Інтернет, і у інтерфейсах управління.

Відповідь

Якщо підозрюється експлуатація, ізолюйте уражений хост, підтвердіть рівень виправлення і проведіть судову перевірку для виявлення доказів виконання команд ОС. Змінюйте потенційно уразливі облікові дані та переглядайте журнали віддаленого доступу на предмет несанкціонованих сеансів, підозрілих дій операторів та аномальної адміністративної активності.