CISA: آسیب‌پذیری RCE در BeyondTrust اکنون در حملات باج‌افزاری مورد سوءاستفاده قرار می‌گیرد

سجاد تیموری 3 روز پیشآخرین بروزرسانی: خرداد ۲, ۱۴۰۵

۰ 2 زمان تقریبی مطالعه 2 دقیقه

CISA: آسیب‌پذیری RCE در BeyondTrust اکنون در حملات باج‌افزاری مورد سوءاستفاده قرار می‌گیرد — CISA هشدار داده است که مهاجمان به‌صورت فعال در حال بهره‌برداری از آسیب‌پذیری CVE-2026-1731 در محصول BeyondTrust Remote Support هستند.

آژانس امنیت سایبری و زیرساخت ایالات متحده (Cybersecurity and Infrastructure Security Agency – CISA) هشدار داده است که مهاجمان به‌صورت فعال در حال بهره‌برداری از آسیب‌پذیری CVE-2026-1731 در محصول BeyondTrust Remote Support هستند.

این نقص امنیتی نسخه‌های Remote Support 25.3.1 و پیش از آن و همچنین Privileged Remote Access 24.3.4 و پیش از آن را تحت تأثیر قرار می‌دهد و امکان اجرای کد از راه دور را برای مهاجم فراهم می‌کند.

ثبت در KEV و ضرب‌الاجل سه‌روزه برای نهادهای فدرال

CISA در تاریخ ۱۳ فوریه این آسیب‌پذیری را به کاتالوگ Known Exploited Vulnerabilities (KEV) اضافه کرد و به سازمان‌های فدرال تنها سه روز فرصت داد تا وصله امنیتی را اعمال کرده یا استفاده از این محصول را متوقف کنند.

شرکت BeyondTrust نخستین بار در ۶ فوریه وجود آسیب‌پذیری CVE-2026-1731 را افشا کرد. در بولتن امنیتی این شرکت، این نقص به‌عنوان یک آسیب‌پذیری Pre-Authentication Remote Code Execution طبقه‌بندی شده که ناشی از ضعف OS Command Injection است و از طریق ارسال درخواست‌های کلاینت دستکاری‌شده به Endpointهای آسیب‌پذیر قابل بهره‌برداری است.

انتشار PoC و آغاز سریع بهره‌برداری در دنیای واقعی

کدهای اثبات مفهوم (PoC) برای CVE-2026-1731 مدت کوتاهی پس از افشا منتشر شدند و سوءاستفاده در محیط واقعی تقریباً بلافاصله آغاز شد.

در ۱۳ فوریه، BeyondTrust بولتن خود را به‌روزرسانی و اعلام کرد که شواهد بهره‌برداری از این نقص به تاریخ ۳۱ ژانویه بازمی‌گردد. این موضوع نشان می‌دهد که CVE-2026-1731 حداقل به مدت یک هفته یک آسیب‌پذیری Zero-Day محسوب می‌شده است.

BeyondTrust اعلام کرد گزارش ارائه‌شده توسط پژوهشگر امنیتی Harsh Jaiswal و تیم Hacktron AI فعالیت غیرعادی شناسایی‌شده در یک دستگاه Remote Support Appliance را تأیید کرده است.

استفاده در کمپین‌های باج‌افزاری

CISA اکنون شاخص «Known To Be Used in Ransomware Campaigns?» را برای این آسیب‌پذیری در کاتالوگ KEV فعال کرده است؛ به این معنا که این نقص رسماً در کمپین‌های باج‌افزاری مورد استفاده قرار گرفته است.

وضعیت وصله امنیتی و توصیه‌های فنی

برای مشتریان نسخه ابری (Cloud-based / SaaS)، BeyondTrust اعلام کرده که وصله امنیتی در تاریخ ۲ فوریه به‌صورت خودکار اعمال شده و نیازی به اقدام دستی نیست.

مشتریان نسخه‌های Self-Hosted باید:

به‌روزرسانی خودکار را فعال کرده و از طریق رابط ‘/appliance’ اعمال Patch را بررسی کنند؛

یا وصله را به‌صورت دستی نصب کنند.

نسخه‌های توصیه‌شده:

کاربران Remote Support باید به نسخه ۲۵٫۳٫۲ ارتقا دهند.
کاربران Privileged Remote Access (PRA) باید به نسخه ۲۵٫۱٫۱ یا جدیدتر مهاجرت کنند.
کاربرانی که همچنان از RS v21.3 و PRA v22.1 استفاده می‌کنند، توصیه می‌شود پیش از اعمال Patch، ابتدا به نسخه‌های جدیدتر ارتقا انجام دهند.