عوامل تهدید از آسیبپذیری حیاتی اخیراً افشا شده با شناسه CVE-2026-1731 (امتیاز CVSS: 9.9) که محصولات BeyondTrust Remote Support (RS) و Privileged Remote Access (PRA) را تحت تأثیر قرار میدهد، برای انجام طیف گستردهای از اقدامات مخرب از جمله استقرار بدافزارهای VShell و Spark RAT و … سوءاستفاده میکنند.
کمپین اخیر، بخشهای مختلف را در سراسر ایالات متحده، فرانسه، آلمان، استرالیا و کانادا هدف قرار داده است. نقص امنیتی مذکور که RS نسخه 25.3.1 یا قبل از آن و PRA نسخه 24.3.4 یا قبل از آن را تحت تأثیر قرار میدهد، میتواند برای اجرای کد از راه دور مورد سوءاستفاده قرار گیرد و به نفوذگران اجازه میدهد تا دستورات سیستمعامل را در زمینه کاربر سایت اجرا کنند. BeyondTrust در ابتدا CVE-2026-1731 را در اطلاعیهای افشا کرد و آن را بهعنوان آسیبپذیری اجرای کد از راه دور پیش از احراز هویت ناشی از نقص تزریق دستور سیستم عامل طبقهبندی کرد که از طریق درخواستهای کلاینت دستکاریشده ویژه ارسالشده به نقاط پایانی آسیبپذیر قابل سوءاستفاده است. کدهای اکسپلویت PoC برای این نقص اندکی پس از آن در دسترس قرار گرفتند و اکسپلویت در سطح اینترنت تقریباً بلافاصله آغاز شد. در گزارشی Palo Alto Networks Unit 42 اعلام کرد که این نقص امنیتی را که به طور فعال در سطح اینترنت برای شناسایی شبکه، استقرار وبشل، فرمان و کنترل (C2)، نصب ابزارهای مدیریت از راه دور و دربپشتی، حرکت جانبی و سرقت دادهها مورد سوءاستفاده قرار میگیرد، شناسایی کرده است.
شرکت امنیت سایبری Unit 42، این آسیبپذیری را نقص پاکسازی توصیف کرد که به نفوذگر اجازه میدهد تا از اسکریپت “thin-scc-wrapper” آسیبپذیر که از طریق رابط WebSocket قابل دسترسی است، به منظور تزریق و اجرای دستورات دلخواه shell در زمینه کاربر سایت استفاده کند. اگرچه این حساب کاربری با کاربر root متفاوت است، اما به خطر انداختن آن به طور مؤثر به مهاجم، کنترل پیکربندی دستگاه، نشستهای مدیریتشده و ترافیک شبکه را میدهد. بر اساس گزارش Unit 42: رابطه بین CVE-2026-1731 و CVE-2024-12356 یک چالش محلی و تکراری را در اعتبارسنجی ورودی در مسیرهای اجرایی مجزا برجسته میسازد. با توجه به اینکه CVE-2024-12356 توسط عوامل تهدید چینی مانند Silk Typhoon اکسپلویت شده است، این شرکت خاطرنشان کرد که CVE-2026-1731 نیز میتواند هدف عوامل تهدید پیشرفته باشد. گفتنی است که برای کاربران برنامه مبتنی بر ابر (SaaS)، وصله به طور خودکار در ۲ فوریه اعمال شده، بنابراین نیازی به مداخله دستی نیست. کاربران نمونههای خود-میزبان باید بهروزرسانیهای خودکار را فعال کرده و تأیید کنند که وصله از طریق رابط ‘/appliance‘ اعمال شده است یا آن را به صورت دستی نصب کنند. توصیه شده کاربران RS به نسخه 25.3.2 و کاربران PRA نیز به نسخه 25.1.1 یا جدیدتر به روزرسانی کنند. به کسانی که هنوز از RS v21.3 و PRA v22.1 استفاده میکنند، توصیه شده قبل از اعمال وصله به نسخه جدیدتر ارتقا دهند.
https://www.bleepingcomputer.com/news/security/cisa-beyondtrust-rce-flaw-now-exploited-in-ransomware-attacks/
https://thehackernews.com/2026/02/beyondtrust-flaw-used-for-web-shells.html
https://unit42.paloaltonetworks.com/beyondtrust-cve-2026-1731/
