Американската агенция по киберсигурност CISA предупреди, че хакерски групи активно експлоатират критичната уязвимост CVE-2026-1731 в продуктите BeyondTrust.

Проблемът засяга:

• BeyondTrust Remote Support версия 25.3.1 или по-стара

• BeyondTrust Privileged Remote Access версия 24.3.4 или по-стара

Уязвимостта е класифицирана като pre-authentication remote code execution (RCE) и се дължи на слабост тип OS command injection, която може да бъде експлоатирана чрез специално подготвени клиентски заявки към уязвими крайни точки.

Zero-day експлоатация и публични PoC експлойти

BeyondTrust публикува първоначалното си съобщение за CVE-2026-1731 на 6 февруари. Само дни по-късно се появиха proof-of-concept (PoC) експлойти, а реалната експлоатация „в дивата природа“ започна почти незабавно.

На 13 февруари доставчикът актуализира бюлетина си, като потвърди, че експлоатацията е била засечена още на 31 януари. Това означава, че уязвимостта е функционирала като zero-day поне една седмица преди публичното ѝ разкриване.

Аномалната активност е потвърдена след доклад от изследователя Харш Джаисвал и екипа Hacktron AI, като е засегнат поне един Remote Support appliance.

Реакцията на CISA и връзка с ransomware

На 13 февруари CISA добави CVE-2026-1731 в своя каталог Known Exploited Vulnerabilities (KEV) и даде на федералните агенции само три дни да приложат корекцията или да спрат използването на засегнатите продукти.

Допълнително, агенцията активира индикатора „Known To Be Used in Ransomware Campaigns?“, което показва, че уязвимостта вече се използва или е интегрирана в реални ransomware атаки. Това значително повишава риска за организации, които все още не са предприели действия.

Какво трябва да направят засегнатите организации

BeyondTrust предоставя различни инструкции според начина на внедряване:

SaaS (cloud) клиенти:

• Корекцията е приложена автоматично на 2 февруари.

• Не се изискват допълнителни действия от страна на клиентите.

Самостоятелно хоствани инсталации:

• Активиране на автоматични актуализации и проверка чрез интерфейса /appliance

• Или ръчно инсталиране на пача

Препоръчителни версии:

• Remote Support: версия 25.3.2

• Privileged Remote Access: версия 25.1.1 или по-нова

Организации, които все още използват RS v21.3 или PRA v22.1, трябва първо да преминат към по-нова поддържана версия, преди да приложат съответната корекция.

CVE-2026-1731 е пример за високорискова уязвимост в критична инфраструктура за отдалечен достъп и привилегировано управление. Комбинацията от zero-day експлоатация, публични PoC експлойти и потвърдена употреба в ransomware кампании превръща този проблем в приоритет от най-високо ниво за всички засегнати организации.