CVE-2026-1731
BeyondTrust Remote Support (RS) and Privileged Remote Access (PRA)
2026-02-13
BeyondTrust Remote Support (RS) and Privileged Remote Access (PRA)contain an OS command injection vulnerability. Successful exploitation could allow an unauthenticated remote attacker to execute operating system commands in the context of the site user. Successful exploitation requires no authentication or user interaction and may lead to system compromise, including unauthorized access, data exfiltration, and service disruption.
Технический анализ и план устранения
Суть уязвимости
Уязвимость CVE-2026-1731 представляет собой критическую ошибку внедрения команд операционной системы (OS Command Injection) в продуктах BeyondTrust Remote Support (RS) и Privileged Remote Access (PRA). Из-за недостаточной санитизации и валидации пользовательских входных данных, неаутентифицированный удаленный злоумышленник может отправить специально сформированный сетевой запрос к уязвимому компоненту системы. Это приводит к выполнению произвольных команд на уровне операционной системы с привилегиями пользователя, от имени которого запущен веб-сервис (site user). Для успешной эксплуатации не требуется ни наличие учетных данных, ни какое-либо взаимодействие с легитимными пользователями системы. Успешная атака может привести к полной компрометации устройства (Appliance), несанкционированному доступу к внутренней сети, краже конфиденциальных сессий и паролей, а также к отказу в обслуживании (DoS).
Как исправить
Единственным гарантированным способом устранения данной уязвимости является установка официального обновления безопасности от вендора (BeyondTrust). - Создайте полную резервную копию конфигурации и базы данных вашего устройства (B-Series Appliance или Virtual Appliance) через раздел /appliance. - Авторизуйтесь в административном веб-интерфейсе управления устройством (/appliance) под учетной записью администратора. - Перейдите в раздел "Updates" (Обновления). - Проверьте наличие новых версий Base Software и Product Software, содержащих исправление для CVE-2026-1731. - Загрузите и установите обновление, следуя инструкциям на экране. - Дождитесь автоматической перезагрузки устройства и применения патчей. - После перезагрузки проверьте работоспособность сервисов и убедитесь, что версия программного обеспечения успешно обновлена.
Временные меры
Если немедленная установка патча невозможна, необходимо применить компенсирующие меры для снижения риска эксплуатации. - Ограничьте сетевой доступ к веб-интерфейсам BeyondTrust (особенно к административному порталу и порталу поддержки) только с доверенных IP-адресов или корпоративных подсетей. - Для ограничения доступа на уровне сетевого экрана сервера (если используется проксирование или программный шлюз), разрешите трафик только из доверенной подсети (например, 10.0.0.0/8):
iptables -A INPUT -p tcp --dport 443 -s 10.0.0.0/8 -j ACCEPT
- Заблокируйте все остальные входящие подключения к порту 443:
iptables -A INPUT -p tcp --dport 443 -j DROP
- Настройте Web Application Firewall (WAF) перед устройством BeyondTrust для инспекции входящего трафика и блокировки запросов, содержащих спецсимволы и паттерны, характерные для OS Command Injection (например,
|,;,&&,$(),`). - Усильте мониторинг в вашей SIEM-системе: настройте алерты на аномальную сетевую активность, исходящую от IP-адреса устройства BeyondTrust во внутреннюю сеть.
- Отслеживайте попытки создания подозрительных дочерних процессов (например,
sh,bash,curl,wget) в контексте пользователя веб-сервера, если у вас есть доступ к телеметрии ОС устройства.