Krytyczna luka RCE w BeyondTrust (CVE-2026-1731) jest już wykorzystywana w atakach. Czas na pilne patchowanie

Wprowadzenie do problemu / definicja luki

CVE-2026-1731 to krytyczna podatność typu pre-auth RCE (zdalne wykonanie kodu/poleceń przed uwierzytelnieniem) w rozwiązaniach BeyondTrust Remote Support (RS) oraz Privileged Remote Access (PRA). Scenariusz jest szczególnie groźny, bo do skutecznego ataku nie potrzeba logowania ani interakcji użytkownika — wystarczą odpowiednio spreparowane żądania do podatnego portalu.

W praktyce oznacza to: o ile masz wystawiony do Internetu portal RS/PRA i nie jesteś w pełni załatany — licz się z tym, iż ktoś może próbować (albo już próbował) wejść „zdalnie i po cichu”.

W skrócie

• CVE: CVE-2026-1731
• Ocena: CVSSv4 9.9 (Critical)
• Klasa błędu: wstrzyknięcie poleceń/OS command injection (CWE-78) prowadzące do RCE
• Dotyczy: RS 25.3.1 i starsze, PRA 24.3.4 i starsze
• Status zagrożenia: według obserwacji cytowanych przez BleepingComputer, rozpoczęła się eksploatacja „in-the-wild”, krótko po publikacji PoC.
• Co robić: natychmiast zastosować patche/upgrade dla instalacji self-hosted; SaaS został załatany automatycznie (wg BeyondTrust).

Kontekst / historia / powiązania

Produkty klasy RS/PRA są atrakcyjnym celem, bo stoją na styku zdalnego wsparcia i dostępu uprzywilejowanego — często mają szerokie uprawnienia i „widzą” wiele systemów. Rapid7 zwraca uwagę, iż popularność platformy oraz wcześniejsze incydenty wokół ekosystemu BeyondTrust zwiększają prawdopodobieństwo szybkiej operacjonalizacji luk tego typu przez zaawansowanych przeciwników.

Z perspektywy obrony to typ podatności, gdzie okno czasu „od disclosure do exploitacji” bywa bardzo krótkie — i właśnie taki scenariusz obserwujemy teraz.

Analiza techniczna / szczegóły luki

Mechanizm podatności

BeyondTrust opisuje problem jako krytyczne pre-auth RCE: atakujący, wysyłając specjalnie przygotowane żądania, może doprowadzić do wykonania poleceń systemu operacyjnego w kontekście tzw. „site user”. Skutki obejmują m.in. przejęcie systemu, eksfiltrację danych i zakłócenie usług.

Co wiemy o sposobie wykorzystania w atakach

BleepingComputer opisuje, iż aktywne kampanie (wykryte na sensorach) wykorzystują endpoint /get_portal_info, aby wydobyć identyfikator X-Ns-Company, a następnie zestawić kanał WebSocket, który pozwala realizować wykonanie poleceń na podatnym systemie. Artykuł wskazuje też, iż eskalacja aktywności nastąpiła dzień po publikacji PoC na GitHubie.

Zakres wersji i status poprawek

• Wersje podatne: RS 25.3.1 i wcześniejsze; PRA 24.3.4 i wcześniejsze.
• SaaS: BeyondTrust informuje, iż poprawki dla instancji SaaS zostały wdrożone automatycznie 2 lutego 2026.
• Self-hosted: wymagane jest manualne zastosowanie patcha/upgrade (jeśli nie masz auto-update w interfejsie appliance).

Praktyczne konsekwencje / ryzyko

Jeśli Twoja organizacja używa BeyondTrust RS/PRA w modelu self-hosted i ma portal dostępny z Internetu, ryzyko jest wielowymiarowe:

• Szybkie przejęcie bramy zdalnego dostępu (pre-auth RCE).
• Utrata poufności (dane, sesje zdalne, ewentualnie poświadczenia w zależności od konfiguracji i dostępu po przełamaniu).
• Dalszy ruch boczny do systemów wspieranych przez RS/PRA (typowy „pivot point”).
• Trudne IR: skoro atak nie wymaga logowania, same alerty o nieudanych logowaniach nic nie pokażą — najważniejsze stają się logi HTTP/WebSocket i telemetria z hosta.

W praktyce, przy potwierdzonej eksploatacji w terenie, niezałatane instancje należy traktować jako potencjalnie naruszone (do czasu weryfikacji śledczej).

Rekomendacje operacyjne / co zrobić teraz

Poniżej lista działań w kolejności „największy efekt najszybciej”:

A. Natychmiastowe ograniczenie ekspozycji

1. Jeśli portal jest publicznie dostępny — ogranicz dostęp (ACL/VPN/allowlista IP, geoblokada jako warstwa pomocnicza).
2. Rozważ czasowe wyłączenie wystawienia RS/PRA do Internetu, jeżeli biznesowo możliwe.

B. Patch / upgrade bez zwłoki

• Zastosuj poprawki wskazane przez BeyondTrust dla RS i PRA oraz — jeżeli jesteś na bardzo starych liniach — wykonaj wymagany upgrade do wspieranych wersji, aby móc w ogóle nałożyć patch.
• Zweryfikuj, czy nie polegasz błędnie na auto-update (dotyczy tylko określonych konfiguracji self-hosted).

C. Szybkie „threat hunting” pod ten wektor

Skoncentruj się na:

• Nietypowych żądaniach do /get_portal_info i następujących po nich połączeniach WebSocket do portalu.
• Skokach w wolumenie ruchu do portalu RS/PRA z nieznanych ASN / krajów.
• Anomaliach na hoście: nietypowe procesy potomne, uruchomienia shelli, nowe zadania harmonogramu, modyfikacje plików wykonywalnych/usług.

D. Procedura „assume breach”, jeżeli instancja była niezałatana

Jeżeli system był wystawiony do Internetu i nie był załatany w momencie, gdy ruszyła eksploatacja:

• Zrób triage i forensics (kopie logów, obrazy dysków/artefakty EDR).
• Rozważ rotację kluczy/sekretów i przegląd kont serwisowych powiązanych z RS/PRA.
• Sprawdź, czy nie doszło do zmian w konfiguracji appliance, regułach, integracjach.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• Pre-auth RCE vs post-auth: tu bariera wejścia jest minimalna (brak logowania), co zwykle skutkuje szybszą masową eksploatacją po publikacji PoC.
• SaaS vs self-hosted: BeyondTrust raportuje automatyczne załatanie SaaS, ale największe ryzyko operacyjne dotyczy self-hosted (bo patching zależy od Ciebie i Twoich procesów).
• Wektor obserwowany w atakach: w tym przypadku telemetryka wskazuje konkretny łańcuch (endpoint informacyjny → identyfikator → WebSocket → komendy), co ułatwia budowę detekcji na poziomie WAF/Proxy/SIEM.

Podsumowanie / najważniejsze wnioski

CVE-2026-1731 to „pełnoprawny kryzys patchingowy”: krytyczne pre-auth RCE, szeroka baza instalacji i — co najważniejsze — sygnały, iż atakujący już to wykorzystują.

Jeśli korzystasz z BeyondTrust RS/PRA w trybie self-hosted:

1. ogranicz ekspozycję do Internetu,
2. natychmiast aktualizuj/patche,
3. poluj na ślady wykorzystania (HTTP/WebSocket + telemetria hosta),
4. przy braku pewności — działaj jak w scenariuszu „assume breach”.

Źródła / bibliografia

1. BleepingComputer — „Critical BeyondTrust RCE flaw now exploited in attacks, patch now” (13 lutego 2026) (BleepingComputer)
2. BeyondTrust — Advisory BT26-02 (CVE-2026-1731, CVSSv4 9.9, affected/fixed versions, mitigation) (BeyondTrust)
3. Rapid7 — ETR: CVE-2026-1731 (kontekst ryzyka, guidance, wersje fixed) (Rapid7)
4. NVD (NIST) — wpis CVE-2026-1731 (opis podatności) (nvd.nist.gov)
5. CCB Belgium — ostrzeżenie dot. RCE w BeyondTrust RS/PRA (CVE-2026-1731) (ccb.belgium.be)