Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) figyelmeztetése szerint a kiberbűnözők aktívan kihasználják a CVE-2026-1731 azonosítón nyomon követett BeyondTrust Remote Support sérülékenységet.
A biztonsági hiba a BeyondTrust Remote Support 25.3.1-es vagy annál korábbi, illetve a Privileged Remote Access (PRA) 24.3.4-es vagy annál korábbi verzióit érinti, és távoli kódfuttatásra ad lehetőséget. A CISA február 13-án felvette a sérülékenységet a KEV-katalógusba és mindössze három napos határidőt szabott az amerikai szövetségi ügynökségek számára a javítás telepítésére vagy a termék használatának felfüggesztésére.
A BeyondTrust február 6-án hozta nyilvánosságra a CVE-2026-1731 sebezhetőséget. A biztonsági tanácsadói közlemény előhitelesítés nélküli (pre-authentication) távoli kódfuttatási sérülékenységként sorolta be, amelyet operációs rendszer szintű parancsbefecskendezési (OS command injection) gyengeség okoz. A hiba speciálisan kialakított klienskérések révén használható ki a sérülékeny végpontokon.
A CVE-2026-1731 sérülékenységhez rövid időn belül elérhetővé váltak a proof-of-concept exploitok és a valós környezetben történő kihasználás gyakorlatilag azonnal megkezdődött.
Február 13-án a BeyondTrust frissítette közleményét, amelyben jelezte, hogy a kihasználást már január 31-én észlelték, így a CVE-2026-1731 legalább egy héten keresztül nulladik napi sérülékenységnek minősült. A vállalat közlése szerint Harsh Jaiswal kutató és a Hacktron AI csapat jelentése megerősítette a Remote Supporton észlelt anomáliákat.
A CISA időközben aktiválta a KEV-katalógusban a „Known To Be Used in Ransomware Campaigns?” (Ismerten használt zsarolóvírus-kampányokban?) jelzőt, ami arra utal, hogy a sérülékenységet potenciálisan zsarolóvírus-támadásokban is alkalmazzák.
A felhőalapú szolgáltatást igénybe vevő ügyfelek esetében a gyártó tájékoztatása szerint a javítás február 2-án automatikusan telepítésre került, így számukra manuális beavatkozás nem szükséges.
A saját üzemeltetésű példányokat használó ügyfeleknek először engedélyezniük kell az automatikus frissítéseket, majd az „/appliance” felületen ellenőrizhetik a javítás telepítésének állapotát, vagy alternatív megoldásként manuálisan telepíthetik a frissítést.
A Remote Support esetében a 25.3.2-es verzió telepítése javasolt. A Privileged Remote Access felhasználóknak a 25.1.1-es vagy annál újabb verzióra történő frissítés ajánlott. Azok számára, akik még a Remote Support 21.3-as vagy a PRA 22.1-es verzióját használják, első lépésként egy újabb főverzióra történő frissítés szükséges, és csak ezt követően telepíthető a biztonsági javítás.