漏洞概况

在PoC漏洞利用代码公开后，攻击者迅速针对BeyondTrust的关键漏洞（CVE-2026-1731）发起攻击，该漏洞可实现未经认证的远程代码执行。威胁行为体在概念验证（PoC）利用代码公开后，立即开始利用这个新修复的高危漏洞（CVSS评分9.9）。

本周BeyondTrust发布了安全更新，修复其远程支持（Remote Support）和旧版特权远程访问（Privileged Remote Access）产品中的关键缺陷。该漏洞允许未经认证的攻击者发送特制请求，无需登录即可远程执行操作系统命令。这个于2026年2月6日披露的漏洞若被利用，可能导致完全远程代码执行，因此更新补丁对防止滥用至关重要。

技术细节

BeyondTrust在安全公告中警告："BeyondTrust远程支持（RS）和某些旧版特权远程访问（PRA）存在关键的身份认证前远程代码执行漏洞。未经认证的远程攻击者通过发送特制请求，可能以站点用户身份执行操作系统命令。"

成功利用该漏洞可使远程攻击者无需认证或用户交互即可运行系统命令，可能导致系统完全沦陷、数据窃取和服务中断。公告进一步指出："成功利用无需任何认证或用户交互，可能导致系统被入侵，包括未授权访问、数据外泄和服务中断。"

影响范围

BeyondTrust于2月6日发布CVE-2026-1731补丁，此前Hacktron研究人员警告称有数千个实例暴露在互联网上。Hacktron AI团队报告显示，约11,000个BeyondTrust远程支持实例暴露在云端和本地环境中，其中约8,500个为本地系统，若未打补丁将保持脆弱状态。受影响部署主要集中于医疗保健、金融服务、政府和酒店行业的大型企业。

攻击态势

2月10日PoC利用代码公开后，GreyNoise在24小时内检测到攻击尝试，其中单个IP地址承担了大部分侦察活动。GreyNoise报告称："2月10日，针对BeyondTrust远程支持和特权远程访问中关键身份认证前远程代码执行漏洞（CVE-2026-1731）的PoC利用代码被发布到GitHub。截至2月11日，GreyNoise全球观测网格已记录到针对脆弱BeyondTrust实例的侦察探测。"

GreyNoise观察到针对CVE-2026-1731的快速侦察活动，其中单个IP承担了86%的扫描量。该活动源自长期运行的扫描操作，使用商业VPN和基于Linux的工具。威胁行为体主要探测非标准端口，表明其知晓企业会将BeyondTrust服务从443端口迁移。JA4+指纹显示存在共享的漏洞利用工具和VPN隧道。

威胁关联

同一批IP还针对SonicWall、MOVEit、Log4j、Sophos、SSH和IoT设备，表现出多重漏洞利用行为。BeyondTrust工具是高价值目标，即使新变种快速出现，过往的0Day攻击链仍保持活跃。报告总结道："执行CVE-2026-1731侦察的IP并非单一用途。虽然其BeyondTrust活动属于检查（枚举）行为，但GreyNoise档案显示它们同时针对其他产品进行主动利用尝试：SonicWall、MOVEit Transfer、Log4j、Sophos防火墙、SSH暴力破解和IoT默认凭证测试。部分IP甚至使用带外回调域（OAST）这种更复杂的技术，在投递有效载荷前确认漏洞存在。"

参考来源：

Attackers exploit BeyondTrust CVE-2026-1731 within hours of PoC release

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）