Представьте: атакующий отправляет один HTTP-запрос — без логина, без пароля — и получает выполнение команд на сервере, который управляет сотнями машин в вашей сети. Не нужен Cobalt Strike. Не нужен свой C2. Всё уже стоит, оплачено и подписано вендором. Именно это произошло с CVE-2026-1731 в BeyondTrust Remote Support. CVSS 9.9, pre-authentication RCE, EPSS в топ-1% — экстремально высокая вероятность эксплуатации. CISA дала организациям три дня на устранение. Три. Дня. Ransomware-группы уже использовали уязвимость в активных кампаниях, пока большинство команд даже не скачали патч. Почему endpoint management — мишень номер один? Архитектура таких систем построена на доверии. Агент на каждом хосте принимает команды от центрального сервера без дополнительной проверки. Для IT-отдела это удобство, для атакующего — готовый канал управления с легитимным трафиком, который SOC не трогает, потому что «это наш инструмент». 🎇Вот как выглядит kill chain на практике: • T+0 мин — RCE через comma