サイバーセキュリティ企業Arctic Wolfは、自社ホスト型BeyondTrust Remote Support (RS)およびPrivileged Remote Access (PRA)の展開におけるCVE-2026-1731の積極的な悪用を検出しました。
この認証不要なリモートコード実行脆弱性により、攻撃者は細工されたリクエストを通じてサイトユーザーとしてオペレーティングシステムコマンドを実行でき、ドメイン全体の支配へと至ることができます。
Arctic Wolfは本問題に関する初期セキュリティ公報に続き、この継続中のキャンペーンに対する防御を強化するための新しい脅威インテリジェンスを公開しました。
BeyondTrustはクラウドホスト型インスタンスを2026年2月2日に自動パッチし、それらのユーザーへの対応は不要となっています。
しかし、自社ホスト型顧客は脆弱性のあるバージョンに対して手動でアップデートをデプロイする必要があります。攻撃者はこの脆弱性を悪用して永続化ツールをデプロイし、ネットワークを偵察し、横展開を行っており、しばしばBeyondTrustの旧ブランド名であるBomgarの古いアプライアンスをターゲットにしています。
観察された侵害では、脅威アクターはBomgarプロセスをSYSTEMアカウント下で使用して、名前を変更したSimpleHelp RMMバイナリをProgramDataルートディレクトリにドロップしました。
「remote access.exe」のような実行ファイルは、「SimpleHelp Remote Access Client」としてのPEメタデータを含んでいました。
発見活動には、ドメインコンピュータを集計するAdsiSearcherクエリ echo AD_Computers: ([adsiSearcher]"(ObjectClass=computer)").FindAll().count が含まれていました。
横展開はPSexecを使用してSimpleHelpをデバイス全体にプッシュし、初期Impacket SMBv2セッションセットアップリクエストとリモートアクセスを組み合わせて実行されました。
注記:RS 21.3未満またはPRA 22.1未満のバージョンは完全なアップグレードが必要です。すべてのPRA 25.1以上は免疫があります。クラウドインスタンスはセキュアな状態です。
防御者は組織的なガイドラインに従ってパッチを優先し、SimpleHelp IOC(例えば、マッチするメタデータを持つ疑わしいProgramData実行ファイル)をスキャンし、AD列挙またはnetユーザーアクティビティを監視する必要があります。Arctic Wolfはドメイン乗っ取りを阻止するための即座の対応を強く求めています。
翻訳元: https://cyberpress.org/beyondtrust-flaw/