BeyondTrustは世界中のエンタープライズで使用されている認識およびアクセス管理ソリューションを提供しています。この脆弱性は認証前のリモートコード実行(RCE)脆弱性であり、CVSSスコアは9.9です。
WebSocket接続を処理するthin-scc-wrapperコンポーネントに影響を与えます。バグは認証なしで悪用される可能性があるため、攻撃者はサイトユーザーとしてオペレーティングシステムコマンドを実行できます。
これはシステム全体の侵害、データ盗難、サービス中断につながる可能性があります。Unit 42の研究者は野生での積極的な悪用を確認しました。
米国サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)は2026年2月13日にこの脆弱性をその既知悪用脆弱性(KEV)カタログに追加し、連邦機関に即座にパッチを当てることを要求しました。
Cortex Xpanseのテレメトリは、報告時点でCVE-2026-1731に脆弱な16,400を超える露出インスタンスを特定しました。
この脆弱性はWebSocketハンドシェイクプロセス中の不適切な入力検証に起因しています。thin-scc-wrapperスクリプトは、bash算術展開を使用してクライアント提供のremoteVersionパラメータを評価します。
bash算術コンテキストは式を解釈できるため、攻撃者は$(command)などの悪意あるコマンド置換を注入できます。
a[$(cmd)]0のような特別に作成された値を送信することにより、攻撃者はスクリプトに任意のシェルコマンドを実行させることができます。ユーザーインタラクションやログインは必要ありません。
Unit 42は、ネットワーク偵察を行い、ドメインおよびローカル管理者アカウントを作成し、Webシェルを配備する攻撃者を観察しました。
いくつかのケースでは、攻撃者はカスタムPythonスクリプトを使用してメイン管理者パスワードハッシュを60秒間一時的にリセットし、元の認証情報を復元して証拠を削除する前に、ステルスアクセスを付与しました。
複数のPHP Webシェルが発見され、eval()関数を使用した1行の小型バックドアが含まれています。一部のバリアントはChina Chopperなどのツールに似ており、エンコードされたパラメータを使用してコマンドを実行し、出力を返します。
攻撃者はSparkRATやVShellを含むリモートアクセスツールも配備しました。Goで書かれたSparkRATはクロスプラットフォームリモートコントロールを提供します。VShellはファイルレス実行とサービスマスカレードで知られているステルシーなLinuxバックドアです。
追加のアクティビティには、DNSベースのデータ流出、ポート4444を介したリバースシェル、SimpleHelpやAnyDeskなどのツールをインストールしようとする試みが含まれていました。
影響を受けるセクターには、米国、フランス、ドイツ、オーストラリア、カナダ全体の金融サービス、法務サービス、ヘルスケア、高等教育、小売、および高度な技術組織が含まれています。
深層防御制御は重要なままです。特に、インターネットに公開されている高価値のリモートアクセスプラットフォームでは重要です。
翻訳元: https://cyberpress.org/beyondtrust-flaw-fuels-rats/