Исследователи предупреждают об активной эксплуатации критической уязвимости CVE-2026-1731 в BeyondTrust Remote Support и Bomgar. Злоумышленники используют ее для компрометации локальных развертываний и бокового перемещения в сети. — csoonline.com
Исследователи предупреждают, что критическая уязвимость в BeyondTrust Remote Support, исправленная на этой неделе, используется злоумышленниками для компрометации локальных развертываний, включая устройства удаленной поддержки Bomgar, которые содержали затронутые версии уязвимого программного обеспечения.
Bomgar, поставщик продуктов для управления привилегированным доступом, приобрел BeyondTrust в 2018 году, приняв бренд последнего. Локальные аппаратные устройства Bomgar, известные как устройства BeyondTrust B-серии, обеспечивают безопасный удаленный доступ к корпоративным сетям, но многие аппаратные модели достигли конца срока службы, и клиентам рекомендуется перейти на виртуальное устройство или облачные решения BeyondTrust: Privileged Remote Access (Cloud) и Remote Support (Cloud).
Исследователи из компании Arctic Wolf обнаружили атаки, в результате которых были скомпрометированы устройства Bomgar через уязвимость CVE-2026-1731, исправленную на этой неделе. Злоумышленники пытались развернуть инструмент удаленного управления и мониторинга (RMM) SimpleHelp и выполнить боковое перемещение к другим системам в сети.
«Переименованные исполняемые файлы SimpleHelp были созданы через процессы Bomgar с использованием учетной записи SYSTEM», — говорится в отчете исследователей. «Эти исполняемые файлы сохранялись в корневом каталоге ProgramData и запускались оттуда. Среди имен исполняемых файлов были remote access.exe и другие».
Злоумышленникам также удалось создать доменные учетные записи с помощью команды net user, а затем добавить их в административные группы, такие как «enterprise admins» или «domain admins».
Инструмент AdsiSearcher использовался для поиска других компьютеров в среде Active Directory, а PSexec — для установки SimpleHelp на нескольких устройствах.
Исследователи также наблюдали запросы на установку сессии SMBv2 через Impacket в затронутых средах. Impacket — это библиотека Python, которая может использоваться для декодирования сетевого трафика и часто применяется совместно с инструментами перехвата.
CVE-2026-1731 — это критическая уязвимость инъекции команд до аутентификации, затрагивающая BeyondTrust Remote Support (RS) и Privileged Remote Access (PRA). Компания выпустила исправления для нескольких версий уязвимого программного обеспечения, однако старые версии RS необходимо сначала обновить, прежде чем можно будет применить исправление. Это может стать проблемой для устройств, которые больше не поддерживаются и достигли конца срока службы.
Концептуальный эксплойт был опубликован на GitHub, поэтому неудивительно, что атаки последовали вскоре после этого. Как решение для удаленного доступа, BeyondTrust RS представляет собой привлекательную цель как для спонсируемых государством злоумышленников, так и для групп, занимающихся вымогательством. Рабочие станции Министерства финансов США были скомпрометированы после того, как хакеры использовали уязвимости в облачных версиях BeyondTrust RS.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin