文章总结： 攻击者在PoC公开后迅速利用BeyondTrust高危漏洞CVE-2026-1731发起攻击，该漏洞CVSS评分9.9，允许未经认证远程执行代码，约11000个实例暴露。攻击者使用商业VPN扫描非标准端口，并关联Log4j等历史漏洞利用。受影响的医疗金融等行业需立即部署补丁以防系统沦陷与数据泄露。 综合评分： 78 文章分类： 漏洞预警,威胁情报,漏洞分析,应急响应

攻击者火速利用BeyondTrust高危漏洞发起攻击，数千系统面临沦陷风险

FreeBuf

2026年2月14日 18:07 江苏

Part01

漏洞概括

在PoC漏洞利用代码公开后，攻击者迅速针对BeyondTrust的关键漏洞（CVE-2026-1731）发起攻击，该漏洞可实现未经认证的远程代码执行。威胁行为体在概念验证（PoC）利用代码公开后，立即开始利用这个新修复的高危漏洞（CVSS评分9.9）。

本周BeyondTrust发布了安全更新，修复其远程支持（Remote Support）和旧版特权远程访问（Privileged Remote Access）产品中的关键缺陷。该漏洞允许未经认证的攻击者发送特制请求，无需登录即可远程执行操作系统命令。这个于2026年2月6日披露的漏洞若被利用，可能导致完全远程代码执行，因此更新补丁对防止滥用至关重要。

Part02

技术细节

BeyondTrust在安全公告中警告：”BeyondTrust远程支持（RS）和某些旧版特权远程访问（PRA）存在关键的身份认证前远程代码执行漏洞。未经认证的远程攻击者通过发送特制请求，可能以站点用户身份执行操作系统命令。”

成功利用该漏洞可使远程攻击者无需认证或用户交互即可运行系统命令，可能导致系统完全沦陷、数据窃取和服务中断。公告进一步指出：”成功利用无需任何认证或用户交互，可能导致系统被入侵，包括未授权访问、数据外泄和服务中断。”

Part03

影响范围

BeyondTrust于2月6日发布CVE-2026-1731补丁，此前Hacktron研究人员警告称有数千个实例暴露在互联网上。Hacktron AI团队报告显示，约11,000个BeyondTrust远程支持实例暴露在云端和本地环境中，其中约8,500个为本地系统，若未打补丁将保持脆弱状态。受影响部署主要集中于医疗保健、金融服务、政府和酒店行业的大型企业。

Part04

攻击态势

2月10日PoC利用代码公开后，GreyNoise在24小时内检测到攻击尝试，其中单个IP地址承担了大部分侦察活动。GreyNoise报告称：”2月10日，针对BeyondTrust远程支持和特权远程访问中关键身份认证前远程代码执行漏洞（CVE-2026-1731）的PoC利用代码被发布到GitHub。截至2月11日，GreyNoise全球观测网格已记录到针对脆弱BeyondTrust实例的侦察探测。”

GreyNoise观察到针对CVE-2026-1731的快速侦察活动，其中单个IP承担了86%的扫描量。该活动源自长期运行的扫描操作，使用商业VPN和基于Linux的工具。威胁行为体主要探测非标准端口，表明其知晓企业会将BeyondTrust服务从443端口迁移。JA4+指纹显示存在共享的漏洞利用工具和VPN隧道。

Part05

威胁关联

同一批IP还针对SonicWall、MOVEit、Log4j、Sophos、SSH和IoT设备，表现出多重漏洞利用行为。BeyondTrust工具是高价值目标，即使新变种快速出现，过往的0Day攻击链仍保持活跃。报告总结道：”执行CVE-2026-1731侦察的IP并非单一用途。虽然其BeyondTrust活动属于检查（枚举）行为，但GreyNoise档案显示它们同时针对其他产品进行主动利用尝试：SonicWall、MOVEit Transfer、Log4j、Sophos防火墙、SSH暴力破解和IoT默认凭证测试。部分IP甚至使用带外回调域（OAST）这种更复杂的技术，在投递有效载荷前确认漏洞存在。”

参考来源：

Attackers exploit BeyondTrust CVE-2026-1731 within hours of PoC release

Attackers exploit BeyondTrust CVE-2026-1731 within hours of PoC release

#

#

#

推荐阅读

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《攻击者火速利用BeyondTrust高危漏洞发起攻击，数千系统面临沦陷风险》