Bezpečnostní výzkumníci zaznamenali aktivní zneužívání nedávno odhalené kritické bezpečnostní chyby v produktech BeyondTrust Remote Support (RS) a Privileged Remote Access (PRA).
„Přes noc jsme zaznamenali první zneužití BeyondTrust v reálném prostředí prostřednictvím našich globálních senzorů,“ uvedl Ryan Dewhurst, vedoucí oddělení threat intelligence ve společnosti watchTowr, v příspěvku na síti X. „Útočníci zneužívají get_portal_info k extrakci hodnoty x-ns-company před navázáním WebSocket kanálu.“
Kritická zranitelnost CVE-2026-1731
Zranitelnost označená jako CVE-2026-1731 s hodnocením CVSS 9.9 by mohla umožnit neautentizovanému útočníkovi dosáhnout vzdáleného spuštění kódu odesláním speciálně vytvořených požadavků.
Společnost BeyondTrust minulý týden upozornila, že úspěšné zneužití této chyby by mohlo umožnit neautentizovanému vzdálenému útočníkovi spouštět příkazy operačního systému v kontextu uživatele webu, což by vedlo k neoprávněnému přístupu, exfiltraci dat a narušení služeb.
Chyba byla opravena v následujících verzích. Všechny verze PRA 25.1 a vyšší nevyžadují pro tuto zranitelnost opravu:
Remote Support – Patch BT26-02-RS (v21.3 – 25.3.1)
Privileged Remote Access – Patch BT26-02-PRA (v22.1 – 24.X)
Společnost GreyNoise uvedla, že také Defused Cyber potvrdila pokusy o zneužití CVE-2026-1731 v reálném prostředí. GreyNoise zaznamenala průzkumné aktivity zaměřené na tuto zranitelnost méně než 24 hodin po zveřejnění proof-of-concept exploitu.
„Jediná IP adresa představuje 86 % všech pozorovaných průzkumných relací. Je spojena s komerční VPN službou hostovanou poskytovatelem ve Frankfurtu,“ uvedla společnost. „Nejedná se o nového aktéra; je to zavedená skenovací operace, která rychle přidala kontroly CVE-2026-1731 do své sady nástrojů.“
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
