BeyondTrust RCE Vulnerability Under Active Exploitation – Urgent Patch Released
2026/02/13 gbhackers — BeyondTrust が公開したのは、広く利用されている Remote Support (RS) および Privileged Remote Access (PRA) 製品に影響を及ぼす、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2026-1731 (CVSS v4:9.9) に対処するセキュリティ・アップデートである。この欠陥を悪用する未認証のリモート攻撃者たちは、資格情報やユーザー操作を必要とすることなく、脆弱なインスタンスへ向けて特別に細工したリクエストを送信することで不正アクセスを可能にする。その結果として、任意のオペレーティング・システム・コマンドの実行が可能になってしまう。
AI を活用したバリアント分析を通じて、Hacktron AI のセキュリティ研究者は、この問題を発見/特定した。研究者たちはベンダーと緊密に連携し、大規模な悪用が発生する前に迅速な修正を行った。この脆弱性を悪用する攻撃者は、サイト・ユーザーのコンテキストでの操作が可能となり、システム全体の侵害/データ流出/深刻なサービス停止などを引き起こす可能性がある。
Shodan による露出分析によると、インターネット上には約 11,000 件のインスタンスが公開されている。そのうちの、約 8,500 件のオンプレミス・デプロイメントにおいて、必要なアップデートが適用されていない場合には、高リスクの状態が継続してしまう。
| CVE ID | CVSS Score | Description |
|---|---|---|
| CVE-2026-1731 | 9.9 (Critical) | A pre-authentication remote code execution vulnerability in Remote Support (RS) and Privileged Remote Access (PRA) allowing command injection via crafted client requests. |
対応策およびパッチ提供状況
2026年1月31日に提出された、初期の開示報告を受けた BeyondTrust は迅速に対応した。2026年2月2日までに、すべての Remote Support SaaS および Privileged Remote Access SaaS 環境に自動的にパッチを適用し、クラウド・ホスト型顧客を、この脅威から保護した。
その一方で、セルフ・ホスト型オンプレミス・アプライアンスを利用する組織は、自身でセキュリティ・アップデートを適用する必要がある。管理者にとって必要なことは、設定の確認である。アプライアンス・インターフェイスにおいて、自動更新を登録していないインスタンスには悪用の可能性が生じる。
| Product | Affected Versions | Remediation / Fixed Version |
|---|---|---|
| Remote Support (RS) | 25.3.1 and prior | Patch BT26-02-RS (v21.3 – 25.3.1) or Upgrade to 25.3.2+ |
| Privileged Remote Access (PRA) | 24.3.4 and prior | Patch BT26-02-PRA (v22.1 – 24.X) or Upgrade to 25.1.1+ |
さらに、旧バージョンを使用している顧客には追加要件がある。Remote Support (RS) 21.3 未満/Privileged Remote Access (PRA) 22.1 未満を使用している場合には、サポートの対象となる新たなバージョンへのアップグレードの後に、パッチを適用する必要がある。なお、セルフ・ホスト型の PRA 顧客は 25.1.1 以降へ、RS 顧客は 25.3.2 以降へと直接アップグレードすることでも、この脆弱性を解消できる。
脆弱性 CVE-2026-1731 の悪用は容易であり、この特権アクセス・ツールを利用する組織の価値の高さを踏まえると、攻撃者たちが積極的に標的化することが想定される。したがってセキュリティ・チームは、このパッチを最優先で適用すべきである。
BeyondTrust の Remote Support (RS) Privileged Remote Access (PRA) において、認証なしでサーバの完全な乗っ取りに至る恐れのある、きわめて深刻な脆弱性が発見されました。この問題の原因は、外部からのクライアント・リクエストを処理する際の検証不備 (CWE-94:コード・インジェクション) にあります。通常、システムを操作するには正しい ID/Password による認証が必要ですが、この脆弱性を突く攻撃者は、特別に細工した通信データを送信するだけで、認証プロセスを飛び越えて OS コマンドを直接実行できてしまいます。ご利用のチームは、ご注意ください。よろしければ、BeyondTrust での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.