Kritická zranitelnost v BeyondTrust umožňuje vzdálené spuštění kódu bez autentizace
Společnost BeyondTrust, poskytovatel řešení pro správu privilegovaného přístupu, varuje zákazníky před kritickou zranitelností označenou jako CVE-2026-1731. Chyba se týká produktů Remote Support (RS) ve verzích 25.3.1 a starších a Privileged Remote Access (PRA) ve verzích 24.3.4 a starších. Oba produkty jsou široce nasazeny v podnikových a státních prostředích pro vzdálenou podporu a řízený přístup k citlivým systémům. Zranitelnost typu OS Command Injection umožňuje vzdálenému útočníkovi spustit příkazy operačního systému v kontextu uživatele webu prostřednictvím speciálně vytvořených požadavků. Co činí tuto chybu obzvláště nebezpečnou, je skutečnost, že k jejímu zneužití není potřeba žádná autentizace ani interakce uživatele. Úspěšné zneužití může vést k neoprávněnému přístupu, odcizení dat, narušení služeb nebo úplné kompromitaci systému.
Zranitelnost objevil bezpečnostní výzkumník Harsh Jaiswal a tým Hacktron AI pomocí analýzy variant s podporou umělé inteligence. Podle jejich zjištění je na internetu vystaveno přibližně 11 000 instancí těchto produktů, z toho asi 8 500 jsou on-premises instalace, které zůstávají potenciálně zranitelné, pokud nejsou aplikovány záplaty.
BeyondTrust potvrdil, že všechna cloudová prostředí RS a PRA byla zabezpečena k 2. únoru 2026. Zákazníci s on-premises instalacemi však musí aktualizace aplikovat ručně, pokud nemají povolené automatické aktualizace. Doporučené verze jsou Remote Support 25.3.2 nebo novější a Privileged Remote Access 25.1.1 nebo novější. Organizace používající starší verze (Remote Support starší než 21.3 nebo PRA starší než 22.1) budou muset nejprve provést upgrade na novější verzi, aby mohly záplatu aplikovat.
Společnost BeyondTrust uvádí, že zatím nemá důkazy o aktivním zneužívání této zranitelnosti. Historie však ukazuje, že produkty BeyondTrust jsou atraktivním cílem pro sofistikované útočníky. Koncem roku 2024 útočníci využili dvě zero-day zranitelnosti (CVE-2024-12356 a CVE-2024-12686) k průniku do infrastruktury BeyondTrust a krádeži API klíče, který následně použili ke kompromitaci 17 zákaznických prostředí Remote Support SaaS. Méně než měsíc poté americké ministerstvo financí oznámilo, že jeho síť byla napadena prostřednictvím kompromitované instance BeyondTrust. Útok byl později připsán čínské státem podporované skupině Silk Typhoon.
Bezpečnostním týmům se doporučuje okamžitě aplikovat záplaty, omezit externí přístup k rozhraním RS a PRA tam, kde je to možné, zkontrolovat logy na neobvyklé požadavky nebo spouštění příkazů a monitorovat indikátory kompromitace po nasazení záplat.
Další články
Evropský parlament mění pravidla pro AI: Pevné termíny místo neurčitých rozhodnutí
Kritická zranitelnost v BeyondTrust umožňuje vzdálené spuštění kódu bez autentizace
