هشدار BeyondTrust درباره آسیبپذیریهای بحرانی در نرمافزارهای دسترسی از راه دور
شرکت BeyondTrust به مشتریان خود هشدار داد تا دو آسیبپذیری امنیتی بحرانی را در نرمافزارهای «پشتیبانی از راه دور» و «دسترسی از راه دور مدیریتشده» خود وصله کنند. این آسیبپذیریها میتوانند به مهاجمان اجازه دهند تا فرآیند احراز هویت را دور بزنند.
اولین آسیبپذیری که با شناسه CVE-2026-40138 رهگیری میشود، پلتفرم پشتیبانی و دسکتاپ از راه دور RS (نسخههای ۲۵.۳.۲ و قبل از آن) و راهکار امنیت سایبری سازمانی PRA (نسخههای ۲۵.۳.۲ و قبل از آن) این شرکت را تحت تأثیر قرار میدهد. این آسیبپذیری از نقص «احراز هویت نادرست» در زیرسیستم احراز هویت ناشی میشود و بهرهبرداری موفقیتآمیز از آن، مهاجمان فاقد مجوز را قادر میسازد تا کنترلهای دسترسی را دور زده و به تجهیزات هدف، از جمله حسابهای دارای دسترسیهای سطح بالا دسترسی پیدا کنند.
آسیبپذیری دوم با شناسه CVE-2026-40139 که این هفته وصله شد، ناشی از پردازش نادرست درخواستهای احراز هویت BeyondTrust RS است که به مهاجمان راه دور و احراز هویت نشده اجازه میدهد به نمونههای آسیبپذیر دسترسی غیرمجاز پیدا کنند.
شرکت BeyondTrust اشاره کرد که در هر دو مورد، بهرهبرداری از این آسیبپذیریها مستلزم فعال بودن یک پیکربندی احراز هویت خاص است، اما جزئیات بیشتری در این زمینه به اشتراک نگذاشت.
علاوه بر این، BeyondTrust بهروزرسانیهای امنیتی را برای دو نقص امنیتی با شدت بالا (CVE-2026-40140 و CVE-2026-40141) منتشر کرده است که میتوان از آنها برای ایجاد DoS یا دسترسی به منابع محدودشده در نمونههای وصلهنشده RS و PRA بهرهبرداری کرد.
BeyondTrust در این رابطه اعلام کرد:
«بحرانیترین آسیبپذیریها ممکن است به یک مهاجم از راه دور و احراز هویت نشده اجازه دهند تا در پیکربندیهای خاص، کنترلهای دسترسی را دور زده و به تجهیز دسترسی غیرمجاز پیدا کند. آسیبپذیریهای دیگر نیز ممکن است منجر به اختلال در ارائه خدمات، دسترسی ناخواسته به دادهها و در پیکربندیهای مجزا، افزایش سطح دسترسی توسط یک کاربر احراز هویت شده شوند که میتواند یکپارچگی سیستم را تحت تأثیر قرار دهد.»
این شرکت افزود:
«از تاریخ ۲۱ آوریل ۲۰۲۶، وصله امنیتی برای تمامی مشتریان ابری RS/PRA اعمال شده است. مشتریانی که از نسخههای Self-hosted استفاده میکنند، در صورتی که نمونه آنها عضو سرویس بهروزرسانی خودکار نیست، باید وصله امنیتی تجمعی ماه آوریل را برای نسخه تحت تأثیر اعمال کنند یا سیستم خود را به نسخه RS 25.3.3 و بالاتر، یا PRA 25.3.3 و بالاتر ارتقا دهند.»
گروه دیدهبان امنیت اینترنت «Shadowserver» در حال حاضر نزدیک به ۲,۰۰۰ نمونه از تجهیزات BeyondTrust RS و PRA متصل به اینترنت را رصد میکند، اما هنوز جزئیاتی درباره اینکه چه تعداد از آنها Honeypot هستند یا پیش از این در برابر این نواقص وصله شدهاند، در دست نیست.
بهرهبرداری از نقصهای BeyondTrust در حملات سایبری
اگرچه BeyondTrust اطلاعاتی درباره سوءاستفاده از این نقصها در حملات پیش از انتشار وصله به اشتراک نگذاشته است، اما سایر نقصهای امنیتی تأثیرگذار بر نرمافزارهای پشتیبانی از راه دور این شرکت در سالهای اخیر در محیط عملیاتی مورد بهرهبرداری قرار گرفتهاند.
در آخرین مورد، یک آسیبپذیری بحرانی «اجرای کد از راه دور پیش از احراز هویت» به شناسه CVE-2026-1731 که تجهیزات Remote Support و Privileged Remote Access را تحت تأثیر قرار میداد، برای ایجاد کانالهای وبسوکت و مستقر کردن باجافزار روی سیستمهای آسیبپذیر مورد سوءاستفاده قرار گرفت.
سایر نقصهای امنیتی BeyondTrust نیز برای نفوذ به سیستمهای آژانسهای دولتی ایالات متحده به کار گرفته شدهاند. به عنوان مثال، دو سال پیش وزارت خزانهداری ایالات متحده فاش کرد که شبکه آن در حادثهای مرتبط با گروه بدنام جاسوسی سایبری «Silk Typhoon» که تحت حمایت دولت چین فعالیت میکند – هک شده است.
گفته میشود گروه Silk Typhoon با بهرهبرداری از دو آسیبپذیری روز-صفر (CVE-2024-12356 و CVE-2024-12686) به سیستمهای BeyondTrust نفوذ کرده و با استفاده از یک کلید API سرقتشده، ۱۷ نمونه از خدمات ابری (SaaS) نرمافزار Remote Support، از جمله نمونه متعلق به وزارت خزانهداری را به خطر انداخته است.
این گروه هکری چینی همچنین «کمیته سرمایهگذاری خارجی در ایالات متحده» (CFIUS) – که سرمایهگذاریهای خارجی را از نظر مخاطرات امنیت ملی بررسی میکند – و «دفتر کنترل داراییهای خارجی» (OFAC) را که مجری برنامههای تحریمی ایالات متحده است، هدف قرار داده بود.




