نقص بحرانی RCE در BeyondTrust Remote Support و PRA

نقص بحرانی RCE در BeyondTrust Remote Support و PRA
شرکت BeyondTrust نسبت به یک آسیب‌پذیری بحرانی اجرای کد از راه دور بدون احراز هویت در محصولات Remote Support و Privileged Remote Access هشدار داد.

BeyondTrust اعلام کرد یک نقص امنیتی بحرانی با شناسه CVE-2026-1731 در نرم‌افزارهای Remote Support و Privileged Remote Access شناسایی شده که به مهاجمان بدون احراز هویت امکان اجرای کد دلخواه از راه دور را می‌دهد. این آسیب‌پذیری ناشی از ضعف تزریق دستور سیستم‌عامل است و نسخه‌های قدیمی‌تر از RS 25.3.2 و PRA 25.1.1 را تحت تأثیر قرار می‌دهد. اگرچه تاکنون سوءاستفاده فعال گزارش نشده، اما حدود ۱۱ هزار نمونه در معرض اینترنت شناسایی شده که بخش قابل‌توجهی از آن‌ها در صورت عدم اعمال وصله، همچنان آسیب‌پذیر هستند.

شرکت BeyondTrust به مشتریان خود درباره یک آسیب‌پذیری امنیتی بحرانی در محصولات Remote Support (RS) و Privileged Remote Access (PRA) هشدار داده است؛ ضعفی که می‌تواند به اجرای کد از راه دور (Remote Code Execution) توسط مهاجمان بدون نیاز به احراز هویت منجر شود. این آسیب‌پذیری با شناسه CVE-2026-1731 ثبت شده و از نوع پیش‌احراز هویت (Pre-Authentication) است.

بر اساس اعلام BeyondTrust، منشأ این نقص یک ضعف تزریق دستور سیستم‌عامل (OS Command Injection) است که توسط پژوهشگر امنیتی Harsh Jaiswal و تیم Hacktron AI شناسایی شده است. نسخه‌های BeyondTrust Remote Support 25.3.1 یا قدیمی‌تر و Privileged Remote Access 24.3.4 یا قدیمی‌تر تحت تأثیر قرار دارند. به گفته شرکت، مهاجمان بدون هیچ سطح دسترسی و بدون تعامل کاربر می‌توانند از طریق ارسال درخواست‌های مخرب با پیچیدگی پایین، این آسیب‌پذیری را مورد سوءاستفاده قرار دهند.

BeyondTrust در توضیح پیامدهای این نقص اعلام کرده است که بهره‌برداری موفق می‌تواند به اجرای دستورات سیستم‌عامل در بستر کاربر سایت منجر شود و در نتیجه، دسترسی غیرمجاز، استخراج داده‌ها و اختلال در سرویس‌ها را به‌دنبال داشته باشد. این توصیف نشان می‌دهد که ریسک عملیاتی نقص بسیار بالا بوده و در صورت سوءاستفاده می‌تواند به تسلط کامل مهاجم بر سامانه منجر شود.

در واکنش به این تهدید، BeyondTrust اعلام کرد که تمامی سامانه‌های ابری RS/PRA خود را تا تاریخ ۲ فوریه ۲۰۲۶ ایمن‌سازی کرده است. با این حال، مشتریان استفاده‌کننده از نسخه‌های On-Premises موظف هستند در صورت غیرفعال بودن به‌روزرسانی خودکار، به‌صورت دستی سیستم‌های خود را به Remote Support نسخه 25.3.2 یا جدیدتر و Privileged Remote Access نسخه 25.1.1 یا جدیدتر ارتقا دهند.

تیم Hacktron AI در گزارشی جداگانه هشدار داده است که حدود ۱۱ هزار نمونه از این محصولات در معرض اینترنت قرار دارند؛ شامل استقرارهای ابری و داخلی. طبق این گزارش، نزدیک به ۸٬۵۰۰ نمونه از این تعداد مربوط به استقرارهای داخلی است که در صورت عدم اعمال وصله امنیتی، همچنان بالقوه آسیب‌پذیر باقی می‌مانند. این آمار نشان‌دهنده سطح قابل‌توجهی از ریسک در سطح جهانی است، به‌ویژه برای سازمان‌هایی که به دلایل عملیاتی یا مدیریتی، فرآیند به‌روزرسانی را به تعویق می‌اندازند.

BeyondTrust در گفت‌وگو با رسانه‌ها پس از انتشار گزارش اولیه اعلام کرده است که در حال حاضر هیچ شواهدی از سوءاستفاده فعال از CVE-2026-1731 در محیط‌های عملیاتی در دست نیست. با این حال، تجربه‌های گذشته نشان می‌دهد که انتشار عمومی جزئیات آسیب‌پذیری‌ها اغلب به‌عنوان سیگنال هشدار برای مهاجمان عمل می‌کند و سازمان‌هایی که وصله‌ها را به‌موقع اعمال نکنند، به اهداف بالقوه تبدیل می‌شوند.

این نخستین‌بار نیست که محصولات BeyondTrust هدف آسیب‌پذیری‌های جدی قرار می‌گیرند. در ژوئن ۲۰۲۵ نیز این شرکت یک نقص با شدت بالا از نوع Server-Side Template Injection را در RS/PRA برطرف کرده بود که آن هم می‌توانست به اجرای کد از راه دور بدون احراز هویت منجر شود.

همچنین در سال‌های اخیر، برخی نقص‌های امنیتی BeyondTrust به‌عنوان Zero-Day مورد سوءاستفاده قرار گرفته‌اند. حدود دو سال پیش، مهاجمان با استفاده از یک کلید API سرقت‌شده، موفق شدند ۱۷ نمونه SaaS از Remote Support را پس از نفوذ به سامانه‌های BeyondTrust و بهره‌برداری از دو نقص روز-صفر با شناسه‌های CVE-2024-12356 و CVE-2024-12686 compromise کنند.

کمتر از یک ماه بعد، وزارت خزانه‌داری ایالات متحده اعلام کرد شبکه این نهاد در حمله‌ای سایبری نفوذ شده است؛ رخدادی که بعدها به گروه هکری دولتی چین با نام Silk Typhoon نسبت داده شد. بر اساس گزارش‌ها، این گروه موفق به سرقت اطلاعات طبقه‌بندی‌نشده مرتبط با اقدامات احتمالی تحریمی و اسناد حساس دیگر از نمونه BeyondTrust این وزارتخانه شده بود.

علاوه بر وزارت خزانه‌داری، نهادهایی مانند Committee on Foreign Investment in the United States (CFIUS) و Office of Foreign Assets Control (OFAC) نیز در فهرست اهداف این گروه سایبری قرار داشته‌اند. در واکنش به این تهدیدات، CISA در ۱۹ دسامبر، یکی از این آسیب‌پذیری‌ها (CVE-2024-12356) را به فهرست Known Exploited Vulnerabilities (KEV) افزود و به سازمان‌های دولتی آمریکا دستور داد ظرف یک هفته شبکه‌های خود را ایمن‌سازی کنند.

BeyondTrust اعلام کرده است که بیش از ۲۰ هزار مشتری در بیش از ۱۰۰ کشور از خدمات امنیت هویتی این شرکت استفاده می‌کنند و حدود ۷۵ درصد شرکت‌های Fortune 100 در میان مشتریان آن قرار دارند. محصول Remote Support به‌عنوان راهکار پشتیبانی از راه دور سازمانی برای تیم‌های IT استفاده می‌شود و Privileged Remote Access نیز به‌عنوان درگاه امن برای اعمال سیاست‌های مجوزدهی به سامانه‌ها و منابع حساس عمل می‌کند.

با توجه به سابقه هدف‌گیری این محصولات و نقش حیاتی آن‌ها در زیرساخت‌های سازمانی، کارشناسان امنیت سایبری توصیه می‌کنند سازمان‌ها ضمن اعمال فوری وصله‌ها، فرآیندهای پایش مداوم، محدودسازی دسترسی، و بازبینی تنظیمات امنیتی سرویس‌های دسترسی از راه دور را در اولویت قرار دهند.

21 بهمن 1404

بازدید