一款广泛使用的企业权限管理平台存在高危安全漏洞,目前正遭到黑客主动利用,网络安全研究机构与联邦机构均已发布紧急预警。
根据帕洛阿尔托网络公司 Unit 42 发布的最新威胁情报报告,高级威胁组织正大规模利用 BeyondTrust 远程协助软件中最新披露的安全漏洞,部署后门程序并窃取敏感数据。
该漏洞编号为 CVE-2026-1731,官方已于 2026 年 2 月 6 日在安全公告中详细披露。
作为主流的身份与权限管理平台,BeyondTrust 基础设施掌控着大量企业核心权限,使其成为网络犯罪分子眼中极高价值的攻击目标。
Unit 42 报告指出:该漏洞属于 BeyondTrust 远程协助软件中的预认证远程代码执行(RCE)漏洞。
这意味着攻击者无需有效凭据即可攻陷目标系统。
研究人员还原出了已在真实攻击中被武器化的精确利用方式:
通过操控 remoteVersion 参数,攻击者可绕过现有校验机制,并借助 thin-scc-wrapper 执行命令行指令。
这使得攻击者能够以站点用户身份执行系统命令,直接获取设备控制权。
- 开展网络侦察,并创建恶意账户
- 部署网页后门(如 VShell)以维持持久化访问
- 建立命令与控制(C2)通信
- 部署远程管理工具与 SparkRAT 等后门程序
- 实施横向移动,深入受害者内网并窃取数据
此次攻击的影响范围已十分广泛,美国、法国、德国、澳大利亚、加拿大均已出现受害目标。
涉及行业包括:金融服务、法律服务、高科技、高等教育、批发零售、医疗健康等。
这一攻击面的危险程度无论如何强调都不为过,结合历史漏洞利用情况尤为明显。
Unit 42 报告提到,该软件此前存在的漏洞 CVE-2024-12356,曾被臭名昭著的国家级黑客组织 Silk Typhoon(APT27/UNC5221/Emissary Panda) 大规模利用,成功入侵包括美国财政部在内的多个高价值目标。
使用 BeyondTrust 相关产品的机构必须迅速行动。
SaaS 客户已于 2026 年 2 月 2 日前完成自动补丁更新,但本地自建环境若未及时维护仍处于高危状态。
- 本地版 Remote Support 升级至 25.3.2 及以上版本
- 本地版 Privileged Remote Access 升级至 25.1.1 及以上版本
以此封堵这一高危预认证权限绕过漏洞。
发表评论
您还未登录,请先登录。
登录