BeyondTrustが認証バイパスの脆弱性を修正

eSecurity Planet のコンテンツおよび製品に関する推奨事項は、編集上の独立性を保っています。パートナーへのリンクをクリックしていただくことで、当社が収益を得る場合があります。 詳しくはこちら

BeyondTrustは、Remote Support(RS)およびPrivileged Remote Access(PRA)プラットフォームに影響する複数の脆弱性について、セルフホスト型顧客に対しパッチの適用を強く呼びかけています。 

このうち2件は深刻な認証バイパスの脆弱性であり、特定の設定下では、権限のないユーザーが脆弱なシステムにアクセスできてしまう恐れがあります。 

BeyondTrustの脆弱性:主なポイント

  • BeyondTrustは、RSとPRAに影響する4件の脆弱性を修正しました。うち2件は深刻な認証バイパスの欠陥です。
  • CVE-2026-40138CVE-2026-40139では、特定の認証設定下において、未認証の攻撃者がアクセス制御を回避できる可能性があります。
  • セルフホスト型の顧客は直ちにアップグレードする必要があります。なお、BeyondTrustのクラウドホスト型環境にはすでにパッチが適用済みです。
  • 各組織は、ゼロトラスト、フィッシング耐性のある多要素認証(MFA)、最小権限アクセス、継続的な監視によって、リモートアクセスのセキュリティを強化すべきです。 

BeyondTrustの脆弱性の詳細 

今回の脆弱性は、安全なリモート管理と特権アクセス管理に用いられるエンタープライズ向けプラットフォーム、BeyondTrust Remote Support(RS)およびPrivileged Remote Access(PRA)のバージョン25.3.2以前に影響します。 

BeyondTrustは、特定の認証設定下において未認証の攻撃者がアクセス制御を回避できる恐れのある、深刻な認証関連の脆弱性2件を公表しました。 

同社は悪用に必要となる具体的な設定条件を公にはしていませんが、各組織はアップデートを適用するまで、該当する可能性のある展開環境がリスクにさらされているものとみなすべきです。

CVE-2026-40138 

CVE-2026-40138は、今回公表された脆弱性の中で最も深刻なものです。 

BeyondTrustによると、この脆弱性は認証サブシステム内の不適切な認証処理に起因しています。 

悪用に成功した場合、有効な認証情報を持たない攻撃者が認証制御を回避し、脆弱なRSまたはPRAアプライアンスへ不正にアクセスできる可能性があります。

この脆弱性で特に懸念されるのは、悪用に成功すると特権アカウントや管理機能が露出し、攻撃者に機密性の高いシステムへのアクセスを許してしまう点です。 

これらのプラットフォームはエンタープライズインフラへのゲートウェイとして機能することが多いため、侵害されれば環境内での横方向移動を許してしまう可能性もあります。 

CVE-2026-40139 

2件目の深刻な脆弱性であるCVE-2026-40139は、BeyondTrust Remote Support内での認証リクエストの不適切な処理に起因します。 

特定の認証設定下では、この脆弱性により、未認証のリモート攻撃者が脆弱なインスタンスへ不正にアクセスできる恐れがあります。

根本原因はCVE-2026-40138とは異なりますが、影響は類似しています。攻撃者が認証制御を回避し、有効な認証情報を持たずに不正アクセスできてしまう恐れがある点です。 

リモート管理プラットフォームは価値の高いエンタープライズシステムを管理しているため、各組織は修正対応を優先すべきです。 

CVE-2026-40140 

BeyondTrustはまた、脆弱なRSおよびPRAアプライアンスにおいてサービス拒否(DoS)状態を引き起こすために悪用され得るCVE-2026-40140も修正しました。

この脆弱性は不正アクセスをもたらすものではありませんが、悪用に成功するとリモート管理サービスの可用性が損なわれる恐れがあります。 

日常のIT運用やインシデント対応をBeyondTrustに依存している組織にとっては、サービス停止が重要な管理業務を妨げ、セキュリティインシデント発生時の復旧を遅らせる可能性があります。 

CVE-2026-40141 

CVE-2026-40141では、特定の設定下において、認証済みユーザーが本来許可された権限を超えて制限されたリソースにアクセスできてしまう可能性があります。

保護されたリソースへの不正アクセスは、システムの完全性を損ない、権限の誤用や不正な管理操作のリスクを高める恐れがあります。 

悪用には有効な認証情報が必要であるものの、この脆弱性は最小権限の徹底と特権アカウント活動の継続的な監視の重要性を改めて浮き彫りにしています。 

全体として、BeyondTrustは、最も深刻な脆弱性の悪用には特定の認証設定が存在している必要があると指摘しており、これにより一部の展開環境ではリスクが軽減される可能性があるとしています。 

しかし、リモートアクセスおよび特権アクセス管理プラットフォームは脅威アクターに頻繁に狙われる標的であるため、各組織は現在の展開形態にかかわらず、最新のセキュリティアップデートの適用と認証設定の見直しを優先すべきです。

BeyondTrustの脆弱性への対策 

BeyondTrustは、クラウドホスト型のRSおよびPRA顧客全員に対し、すでにパッチを適用済みです。

セルフホスト型の展開環境を運用する組織は、以下の対応を行うべきです。

  • 最新バージョンへのパッチ適用を行い、管理アクセスを信頼できるネットワークに限定し、ユーザーとデバイスを継続的に検証し、RSおよびPRAアプライアンスの不要なインターネット露出を最小限に抑えるなど、ゼロトラストアプローチを採用すること。 
  • フィッシング耐性のあるMFAの適用を義務付け、すべての特権アカウントに最小権限のアクセス制御を適用すること。
  • 不審な挙動がないか、認証ログと特権アカウントの活動を監視すること。
  • 不要な特権アカウントを見直して削除し、可能な限りリモートアクセス基盤をより広範なエンタープライズネットワークから分離すること。
  • インシデント対応計画をテストし、ID侵害や権限昇格を想定したシナリオで攻撃シミュレーションツールを活用すること。

これらの対策を組み合わせることで、リスクの露出を減らし、全体的なレジリエンスを高めることにつながります。  

結論

BeyondTrustはこれらの脆弱性に対する積極的な悪用は報告していないものの、同社のリモートアクセス製品はこれまでのキャンペーンでも標的にされてきており、迅速な修正対応の重要性を改めて示しています。 

今年の初めには、攻撃者がCVE-2026-1731を悪用してBeyondTrustアプライアンスを侵害しました。また、2024年のSilk Typhoonキャンペーンでは、BeyondTrustのゼロデイ脆弱性を悪用し、米財務省が使用していたものを含む複数のRemote Support SaaSインスタンスにアクセスされました。 

各組織がリモートアクセスのセキュリティを強化するにあたっては、ゼロトラストソリューションを導入し、特権アクセスを許可する前にユーザー、デバイス、アクセス要求を継続的に検証することで、リスク低減につなげることができます。 

Ken Underhill

Ken Underhillは、IT、サイバーセキュリティ、リスクマネジメントの分野で25年以上の経験を持つ、受賞歴のあるサイバーセキュリティ専門家、ベストセラー作家、テクノロジーリーダーです。彼のキャリアはネットワーク管理、インシデント対応、ペネトレーションテスト、起業に及び、組織がリスクを低減しコンプライアンスを確保する支援を行ってきた豊富な実務経験を持っています。Kenは元看護師・戦闘医療兵でもあり、その経験を活かして複雑なサイバーセキュリティのトピックを、幅広い世界中の読者にも理解しやすいコンテンツへと落とし込んでいます。
複数回のイグジットを経験したサイバーセキュリティ起業家として、Kenは数十年にわたり組織のセキュリティ体制の強化、リスク管理、複雑なテクノロジー課題への対応を支援してきました。専門分野は、全体的なサイバーセキュリティ戦略、クラウドセキュリティ、インシデント対応、リスク管理、セキュリティ意識向上、そして企業に影響を及ぼす新たな脅威など多岐にわたります。KenはまたAIセキュリティとリスクに関して複数のスタートアップのアドバイザーも務めています。
現場での実務経験に加え、KenはTechnologyAdvice社でサイバーセキュリティ関連のニュースレターを執筆しており、サイバーセキュリティのニュースやトレンド、そしてビジネスおよびIT担当者向けの実践的なベストプラクティスを取り上げています。Kenは教育者としても活動しており、これまでに200万人以上が彼の講座を受講しています。Global Cybersecurity 40 under 40(2度受賞)、Women’s Society of CyberjutsuによるCyber Champion賞、2019年のSC Media Outstanding Educator賞を受賞しています。KenはまたMinorities in Cybersecurity、Black Girls Hack、退役軍人のセキュリティ分野へのキャリア転換を支援するWhole Cyber Human Initiativeといった団体でボランティア活動も行っています。
KenはWestern Governors Universityでサイバーセキュリティおよび情報保証の理学修士号を、Strayer Universityで情報システム学(サイバーセキュリティマネジメント専攻)の学士号を取得しています。保有資格にはCertificate of Cloud Security Knowledge(CCSK)、Certified Ethical Hacker(CEH)、Computer Hacking Forensic Investigator(CHFI)があり、デジタルフォレンジックの非常勤講師も務めた経験があります。Kenはまた2020年から2022年にかけて、世界中で月間20万人以上の視聴者を集めたサイバーセキュリティ関連のストリーミングテレビ番組も手がけていました。
彼の実績と専門知識は、Forbes、Reader’s Digest、Medium、TechRepublic、Fox、NBC、CBS、Dark Reading、MSN Moneyをはじめとする主要メディアで取り上げられており、サイバーセキュリティ、選挙セキュリティ、プライバシーに関する信頼できる論客として知られています。

翻訳元: https://www.esecurityplanet.com/threats/beyondtrust-patches-authentication-bypass-vulnerabilities/

ソース: esecurityplanet.com