BeyondTrustは、同社のRemote Support(RS)およびPrivileged Remote Access(PRA)ソフトウェアに存在する重大なセキュリティ欠陥を修正するよう顧客に警告した。この欠陥により、認証されていない攻撃者がリモートから任意のコードを実行できる可能性がある。
CVE-2026-1731として追跡されているこの事前認証のリモートコード実行脆弱性は、Harsh Jaiswal氏とHacktron AIチームが発見したOSコマンドインジェクションの弱点に起因し、BeyondTrust Remote Support 25.3.1以前およびPrivileged Remote Access 24.3.4以前に影響する。
権限のない脅威アクターでも、ユーザー操作を必要としない低複雑度の攻撃で、悪意を持って細工されたクライアントリクエストを通じてこれを悪用できる。
BeyondTrustは金曜日のアドバイザリで、「悪用に成功した場合、認証されていないリモート攻撃者がサイトユーザーのコンテキストでオペレーティングシステムコマンドを実行できる可能性があります」と述べた。「悪用の成功には認証やユーザー操作は不要であり、不正アクセス、データ流出、サービス妨害を含むシステム侵害につながる可能性があります。」
BeyondTrustは2026年2月2日までにすべてのRS/PRAクラウドシステムを保護済みであり、自動更新を有効にしていないオンプレミスの顧客に対しては、Remote Support 25.3.2以降およびPrivileged Remote Access 25.1.1以降へアップグレードして手動でパッチを適用するよう助言している。
2025年6月、BeyondTrustは、認証されていない攻撃者がリモートコード実行を得ることも可能となる高深刻度のRS/PRAサーバーサイドテンプレートインジェクション脆弱性を修正した。
過去のBeyondTrustの欠陥はゼロデイとして標的に
同社は、最近パッチが適用されたCVE-2026-1731脆弱性が実環境で攻撃者に悪用されたかどうかについてはまだ明らかにしていないが、他のBeyondTrust RS/PRAのセキュリティ欠陥は近年標的にされてきた。
例えば2年前、攻撃者は盗まれたAPIキーを使用し、2つのRS/PRAゼロデイバグ(CVE-2024-12356およびCVE-2024-12686)を用いてBeyondTrustのシステムに侵入した後、17のRemote Support SaaSインスタンスを侵害した。
米国財務省はそれから1か月も経たないうちに、同省のネットワークがハッキングされたことを明らかにした。この事件は後に、中国の国家支援ハッキンググループ「Silk Typhoon」と関連付けられた。Silk Typhoonは、財務省で侵害されたBeyondTrustインスタンスから、潜在的な制裁措置に関する非機密情報や、同様に機微な文書を盗み出したとみられている。
中国のサイバースパイはまた、国家安全保障上のリスクについて外国投資を審査する対米外国投資委員会(CFIUS)や、米国の制裁プログラムを運用する外国資産管理局(OFAC)も標的にしている。
CISAは12月19日にCVE-2024-12356を既知の悪用済み脆弱性(Known Exploited Vulnerabilities)カタログに追加し、米国政府機関に対して1週間以内にネットワークを保護するよう命じた。
BeyondTrustは、世界100か国以上で2万社を超える顧客にIDセキュリティサービスを提供しており、これには世界のFortune 100企業の75%が含まれる。Remote Supportは、ITサポートチームが問題をリモートでトラブルシューティングするのを支援する同社のエンタープライズ向けリモートサポートソリューションであり、Privileged Remote Accessは、特定のシステムやリソースに対する認可ルールを強制する安全なゲートウェイとして機能する。
