U.S. CISA adds a flaw in BeyondTrust RS and PRA to its Known Exploited Vulnerabilities catalog
2026/02/14 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、BeyondTrust Remote Support (RS)/Privileged Remote Access (PRA) に影響する脆弱性 CVE-2026-1731 (CVSS:9.9) を Known Exploited Vulnerabilities (KEV) カタログへ追加した。2026年2月6日に BeyondTrust が公開したのは、RS および旧バージョンの PRA 製品に存在する深刻な欠陥に対処するセキュリティ更新プログラムである。この脆弱性を悪用する未認証の攻撃者は、特別に細工したリクエストを送信することで、リモートから OS コマンドを実行する可能性がある
同社のアドバイザリには「BeyondTrust RS および特定の旧版 PRA には、認証前のリモート・コード実行を可能とする深刻な脆弱性が存在する。細工されたリクエストを送信することで、未認証のリモート攻撃者がサイト・ユーザーのコンテキストで OS コマンドを実行できる可能性がある」と記載されている。
この脆弱性が悪用されると、認証やユーザー操作なしにシステム・コマンドの実行が可能となり、システム全体の侵害/データ窃取/サービス妨害につながる恐れがある。
このアドバイザリは、「悪用に成功した場合、未認証のリモート攻撃者がサイト・ユーザーのコンテキストで OS コマンドを実行する可能性がある。悪用には認証やユーザー操作は不要であり、不正アクセス/データ漏洩/サービス妨害などのシステム侵害に至る恐れがある」と付け加えている。
Hacktron の研究者が、数千規模のインスタンスがオンラインで公開されていると警告したことを受け、BeyondTrust は 2026年2月6日付けで CVE-2026-1731 に対するパッチをリリースした。
Hacktron AI チームによると、クラウド環境およびオンプレミス環境を合わせて約 11,000 件の BeyondTrust Remote Support インスタンスが公開されているという。そのうちの約 8,500 件はオンプレミス環境であり、パッチ未適用の場合は脆弱な状態が継続する可能性がある。影響を受けるデプロイメントに含まれるものには、医療/金融サービス/政府/ホスピタリティ業界などの大規模組織が多いという。
PoC 公開後の悪用
脆弱性 CVE-2026-1731 の PoC エクスプロイトが、2月10日に GitHub 上で公開された直後から、脅威アクターたちが BeyondTrust への攻撃を加速させている。GreyNoise は 24 時間以内に攻撃試行を検知し、単一の IP アドレスが偵察活動の大部分を担っていたことを確認した。
GreyNoise は「2月10日に、BeyondTrust RS/PRA の深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2026-1731 に対して、GitHub 上で PoC エクスプロイトが投稿された。2月11日までに GreyNoise の Global Observation Grid は、脆弱な BeyondTrust インスタンスに対する偵察プロービングを記録していた」と報告している。
GreyNoise が観測した、CVE-2026-1731 に対する急速な偵察活動では、全体の 86% が単一 IP に起因していた。この活動は、商用 VPN および Linux ベースのツールを用いた長期的スキャン・オペレーションに由来するものだ。脅威アクターは主に非標準ポートをプローブしており、ユーザー企業における BeyondTrust サービスが、ポート 443 以外へ移行していることを認識している可能性を示唆している。JA4+ フィンガープリントは、共有されたエクスプロイト・ツールおよび VPN トンネリングの利用を示している。
BeyondTrust ツールは高価値標的であり、新たな亜種が急速に出現している一方で、過去のゼロデイ連鎖も依然として活動中である。
GreyNoise は、「脆弱性 CVE-2026-1731 の偵察を行う IP は、単一の目的を持っているわけではない。BeyondTrust 活動は列挙チェックの一部であるが、同時に SonicWall/MOVEit Transfer/Log4j/Sophos ファイアウォール/SSH ブルートフォース/IoT デフォルト認証情報テストに対する積極的な攻撃も実施している。一部の IP は OAST コールバック・ドメインを使用し、ペイロード投入前に脆弱性を確認する高度手法も用いている」と結論付けている。
Binding Operational Directive (BOD) 22-01:Reducing the Significant Risk of Known Exploited Vulnerabilities により、FCEB 機関はカタログ掲載脆弱性に対し指定期限までに対応する必要がある。CISA は連邦機関に対し、2026年2月16日までに、この脆弱性を修正するよう命じた。
専門家たちは民間組織に対しても、KEV カタログを確認し、自組織インフラに存在する該当脆弱性へ対処することを推奨している。
BeyondTrust の Remote Support (RS)/Privileged Remote Access (PRA) において、認証なしでサーバーを完全に乗っ取られる恐れのある、きわめて深刻な脆弱性が発見されました。この問題の原因は、インターネットに公開されている特定の通信窓口 (/nw WebSocket エンドポイント) において、送られてきた命令を OS のコマンドとして誤って実行してしまう、OSコマンド・インジェクション (CWE-78) にあります。通常、システム操作にはログインが必要ですが、この脆弱性を突く攻撃者は、ID/Password を必要とせず、さらにはユーザー操作も介すことなく、サーバの完全な制御を奪ってしまいます。CISA KEV への登録が 2月13日で、修正期限が 2月16日という、きわめて短期間での問題解決が要求されています。それだけ、深刻な事態にあるのでしょう。よろしければ、2026/02/13 の「BeyondTrust RS/PRA の脆弱性 CVE-2026-1731 が FIX:未認証での任意のコマンド実行の恐れ」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.