Добавить в корзинуПозвонить
Найти в Дзене
The Codeby

Скомпрометировал RMM-сервер — получил доступ ко всем эндпоинтам разом

Представьте: атакующий отправляет один HTTP-запрос — без логина, без пароля — и получает выполнение команд на сервере, который управляет сотнями машин в вашей сети. Не нужен Cobalt Strike. Не нужен свой C2. Всё уже стоит, оплачено и подписано вендором. Именно это произошло с CVE-2026-1731 в BeyondTrust Remote Support. CVSS 9.9, pre-authentication RCE, EPSS в топ-1% — экстремально высокая вероятность эксплуатации. CISA дала организациям три дня на устранение. Три. Дня. Ransomware-группы уже использовали уязвимость в активных кампаниях, пока большинство команд даже не скачали патч. Почему endpoint management — мишень номер один? Архитектура таких систем построена на доверии. Агент на каждом хосте принимает команды от центрального сервера без дополнительной проверки. Для IT-отдела это удобство, для атакующего — готовый канал управления с легитимным трафиком, который SOC не трогает, потому что «это наш инструмент». 🎇Вот как выглядит kill chain на практике: • T+0 мин — RCE через comma

Скомпрометировал RMM-сервер — получил доступ ко всем эндпоинтам разом

Представьте: атакующий отправляет один HTTP-запрос — без логина, без пароля — и получает выполнение команд на сервере, который управляет сотнями машин в вашей сети. Не нужен Cobalt Strike. Не нужен свой C2. Всё уже стоит, оплачено и подписано вендором.

Именно это произошло с CVE-2026-1731 в BeyondTrust Remote Support. CVSS 9.9, pre-authentication RCE, EPSS в топ-1% — экстремально высокая вероятность эксплуатации. CISA дала организациям три дня на устранение. Три. Дня. Ransomware-группы уже использовали уязвимость в активных кампаниях, пока большинство команд даже не скачали патч.

Почему endpoint management — мишень номер один?

Архитектура таких систем построена на доверии. Агент на каждом хосте принимает команды от центрального сервера без дополнительной проверки. Для IT-отдела это удобство, для атакующего — готовый канал управления с легитимным трафиком, который SOC не трогает, потому что «это наш инструмент».

🎇Вот как выглядит kill chain на практике:

• T+0 мин — RCE через command injection. Команды выполняются в контексте сервисной учётки с правами локального администратора.

• T+5 мин — из памяти привилегированных процессов на RMM-сервере извлекаются NTLM-хеши. Дополнительно — CVE-2025-24054 через .library-ms файлы для перехвата NTLMv2-хешей.

• T+15 мин — lateral movement. Через штатный RMM-канал или Pass the Hash по SMB. PsExec, smbexec — классика, которая работает, потому что NTLM включён, Credential Guard отсутствует, а микросегментации нет.

15 минут от первого запроса до полного контроля над инфраструктурой.

➡️Немного контекста в цифрах. По Verizon DBIR 2025, медианный выкуп — $46,000, максимальный зафиксированный — $75M. Для healthcare-сектора, где группы Qilin и Akira остаются лидерами по числу жертв, последствия выходят далеко за рамки денег: оборотные штрафы за утечку данных пациентов, простой клинического оборудования, уголовная ответственность. По IBM X-Force 2025, 70% атак затронули критическую инфраструктуру.

❓Что делать прямо сейчас:

• Проверьте, торчит ли ваш BeyondTrust/ConnectWise/SimpleHelp в интернет. Если да — это первый приоритет.

• Убедитесь, что RMM-трафик мониторится отдельно. «Наш инструмент» — не значит безопасный.

• Включите Credential Guard, отключите NTLM где возможно, сегментируйте SMB.

В полной статье — готовые Sigma-правила для SOC, детальный разбор каждого этапа kill chain и чеклист hardening. Всё, чтобы не стать следующей строчкой в отчёте ransomware.live.

https://codeby.net/threads/ataki-na-endpoint-management-sistemy-razbor-ttp-2026-i-detection-dlya-soc.94277/