文章总结: 本文深入分析了BeyondTrust远程接入平台近期披露的四个高危漏洞,其中两个为严重级别的认证绕过漏洞(CVE-2026-40138和CVE-2026-40139),可让攻击者绕过认证直接控制设备。文章还结合了该产品过往的两次被利用事件,还原了完整的攻击链,并从补丁修复、配置审查、日志审计等方面给出了防御建议。 综合评分: 85 文章分类: 威胁情报,漏洞分析,应急响应,网络安全,应用安全
BeyondTrust 远程接入平台四枚高危漏洞全拆解:从认证绕过到”零信任”信任崩塌的完整攻击链
原创
威胁情报中心 威胁情报中心
奇安信威胁情报中心
2026年7月8日 12:42 北京
在小说阅读器读本章
去阅读
一台远程支持设备,就是一扇通往企业内网的大门
特权远程访问(PAM)和远程支持平台长期被安全团队视作”最后一道防线”——所有外部接入请求都汇聚到这里,一旦失守,攻击者相当于拿到了内网的万能钥匙。BeyondTrust 的 Remote Support(RS)和 Privileged Remote Access(PRA)正是这类产品中最常见的选择之一。2026 年 7 月 7 日,BeyondTrust 发布安全公告 BT26-03,披露了影响两款产品的四枚漏洞,其中两枚 CVSS v4 评分达到 9.2,属于严重级别的认证绕过缺陷,可在特定认证配置下让未认证攻击者直接控制设备。
尽管 BeyondTrust 表示尚未发现这四个 CVE 被在野利用的证据,但 RS/PRA 并非首次成为攻击者的目标。回溯 2024 年末到 2026 年初的攻击记录,同一系列产品已经至少被利用过两次——一次导致美国财政部关联事件,另一次则是 2026 年 2 月开始的大规模在野利用。对于国内政企机构而言,虽然 BeyondTrust 在中国市场部署量相对有限,但仍有跨国企业分支、外资在华机构以及部分采用远程支持方案的外包团队在使用此类设备,不能排除作为攻击跳板或受供应链影响的可能性。以下从奇安信威胁情报中心的视角,对这批漏洞的技术细节、历史攻击链和战术演变做一次完整梳理。
四枚漏洞拆解:共享认证子系统是核心靶心
这批漏洞的核心问题是 RS 和 PRA 共用的认证子系统。BeyondTrust 在两款产品中使用了相同的认证后端,这种设计初衷是为了统一管理,但一旦底层存在缺陷,两款产品会同时受影响。
CVE-2026-40138(CVSS v4:9.2,严重) 影响 RS 和 PRA 两者。问题出在认证子系统中对认证数据的校验逻辑不当(CWE-287:身份验证不当)。位于网络可达位置的攻击者在特定认证配置启用的情况下,可以绕过访问控制,直接登录设备并接管具有高权限的管理员账户。
CVE-2026-40139(CVSS v4:9.2,严重) 只影响 RS。问题表现为认证请求处理流程中的缺陷,未认证的远程攻击者通过构造特殊的认证请求,无需任何凭据即可绕过访问控制,直接获得设备的特权访问权限。
这两枚漏洞的利用条件都依赖于”特定认证配置被启用”,BeyondTrust 没有公开具体是哪种配置。根据上下文推断,这很可能与混合认证路径(同时启用本地账户 + SSO/LDAP/RADIUS)相关——这类配置在企业 IT 中非常常见,因为历史遗留的本地账户常常作为 SSO 故障时的回退方案保留下来。许多管理员接手一套跑了多年的远程支持设备后,根本不清楚认证路径上究竟开启了哪些选项。
CVE-2026-40140(CVSS v4:8.7,高危) 是一枚拒绝服务漏洞,位于网络通信子系统中,未认证攻击者可以通过发送畸形客户端输入触发不可控的资源消耗,使设备资源耗尽而不可用,无需用户交互即可远程自动化利用。在事件响应场景中,远程支持设备的宕机意味着帮助台在紧急时刻失去接入能力,本身就具备战略打击价值。
CVE-2026-40141(CVSS v4:8.5,高危) 是 Web 应用组件中的输入校验不当问题,拥有有限权限的已认证用户通过特定权限配置,可以访问其授权范围之外的数据或资源。这枚漏洞本身需要认证,但与上述认证绕过漏洞串联后可以显著放大攻击面——先通过 40138 或 40139 拿到初始访问,再利用 40141 实现权限提升和数据越权。
修复版本为 RS 25.3.3 和 PRA 25.3.3,25.3.2 及以下全部受影响。云托管客户已于 2026 年 4 月 21 日完成自动补丁,自建部署客户需要手动升级或安装 2026 年 4 月安全补丁包。
两次前科:BeyondTrust 已经是攻击者的”回头目标”
理解这批新漏洞的危险等级,必须结合 BeyondTrust RS/PRA 在过去一年半中已经被实际利用过的两次重大事件。
2024 年末:美国财政部关联入侵与 API 密钥窃取
2024 年末,攻击者利用 CVE-2024-12356 和 CVE-2024-12686 攻陷了 BeyondTrust 的远程支持 SaaS 环境,窃取了 API 密钥。这些被窃取的密钥后来被用于访问美国财政部下属机构的远程支持服务,构成了一次典型的供应链级联攻陷——攻击目标本身不是财政部,而是上游的服务提供商 BeyondTrust。
从战术链来看,这次攻击展示了一种极具威胁性的模式:拿到服务提供商的 API 密钥后,攻击者不需要入侵每一家客户的网络,而是直接通过合法的远程支持通道进入客户环境。这种攻击在检测上极其困难,因为流量从服务提供商的合法 IP 发出,走的是合法的远程支持协议,身份验证凭据也是有效的。
2026年2月:CVE-2026-1731在野利用,Web Shell与后门大规模植入
2026 年 2 月 9 日之前未打补丁的互联网暴露自建部署成为攻击目标。BeyondTrust 在 2 月 10 日首次确认 CVE-2026-1731 被在野利用,这是一枚预认证远程代码执行漏洞,攻击者通过构造特殊的 WebSocket 请求在未登录的情况下执行操作系统命令。
在受害系统中,BeyondTrust 观察到的攻击链包括:创建新账户、安装 Web Shell、部署远程控制工具、执行内部横向移动和信息窃取。Web Shell 和后门程序的植入意味着即使漏洞被修补,如果安全团队没有做完整的事件响应排查,攻击者仍然可以通过已经部署的持久化机制保持访问。
攻击者画像与战术演变
从两次历史事件的战术特征来看,攻击者展现出以下能力特征:
对特权远程访问产品的系统性关注。 两次攻击间隔不到一年半,针对同一厂商的同一类产品线,说明攻击者并非随机扫描,而是将 BeyondTrust RS/PRA 作为长期目标。这种持续性关注通常来自有组织的威胁行为体——无论是勒索软件团伙的初始访问经纪人(IAB)、高级持续性威胁(APT)组织,还是国家支持的间谍活动单元,都可能将 PAM 基础设施作为高价值目标。
从 SaaS 攻陷到自建部署的全面覆盖。 2024 年事件利用的是 SaaS 环境中的 API 密钥(上行攻陷),2026 年事件直接针对自建部署的未打补丁设备(下行攻陷)。这种全覆盖的攻击策略意味着攻击者同时具备云环境渗透和本地漏洞利用两种能力链。
标准化的事后行动框架。 2026 年 2 月事件中观察到的战术序列——账户创建、Web Shell 部署、远程控制工具安装、横向移动、信息窃取——是一套相当标准化的”初始访问 → 持久化 → 权限提升 → 横向移动 → 数据外泄”的攻击框架,符合 MITRE ATT&CK 中多条已知技术的组合。这套框架既被勒索软件团伙广泛使用(如 Storm-1811、BlackByte 等关联组织),也被 APT 组织如 APT29(Cozy Bear)所采用。
APT 归因的线索与局限。 虽然无法将这两次攻击直接归属于某个特定 APT 组织,但战术模式与 UNC2452/APT29 在 2020 年 SolarWinds 供应链攻击中的部分手法有相似之处——都是通过上游服务提供商或软件供应链获取合法访问权限。不过考虑到 2026 年 2 月事件的标准化程度较高,也不能排除勒索软件初始访问经纪人的可能。奇安信威胁情报中心对此的归因置信度为中等偏低。
完整攻击链还原:以 CVE-2026-40138/40139 为入口
基于漏洞特征和历史攻击模式,可以构建一条基于本次新漏洞的潜在攻击链:
初始访问(Initial Access): 攻击者扫描互联网上暴露的 BeyondTrust RS/PRA 设备。Shadow Server 基金会的互联网观测数据显示,当前约有近 2000 台 BeyondTrust RS/PRA 设备暴露在公网上(该数据包含已打补丁设备和蜜罐,实际受影响数量可能更少)。对于启用特定认证配置的目标设备,攻击者通过 CVE-2026-40138 或 CVE-2026-40139 直接绕过认证,获取管理控制台访问权限。这两枚漏洞均无需用户交互,且无需认证凭证,非常适合大规模自动化扫描和批量利用。
持久化(Persistence): 与 CVE-2026-1731 利用活动中观察到的手法一致,攻击者在成功获取管理控制台权限后,会部署 Web Shell 和后门程序。Web Shell 通常写入 Web 根目录,利用合法 HTTP 请求通道接收指令。后门程序则可能以系统服务或计划任务的形式存在,即使管理员修改了认证配置或打了补丁,攻击者仍然可以通过后门保持访问。
权限提升(Privilege Escalation): CVE-2026-40138 的成功利用可能直接授予具有高权限的管理员账户。如果初始访问仅获得低权限账户,攻击者可以利用 CVE-2026-40141 的越权访问缺陷,或结合设备操作系统的本地提权漏洞进一步提升权限。
凭据窃取与横向移动(Lateral Movement): 远程支持设备的核心功能就是帮助支持人员访问终端并管理系统。攻击者一旦控制管理控制台,可以:劫持活跃的远程支持会话、提取设备中存储的连接 Jump Client 的凭据和会话凭证、通过远程文件传输功能投递 Payload 到内网终端、利用 AD 集成接口查询和提取 Active Directory 凭据。
云环境渗透(Cloud Pivot): 如果受害组织将 BeyondTrust 与云 IAM、SSO 或 PAM 系统集成,攻击者可以通过设备上的 API 令牌或集成配置访问云管理平面,进而控制云资源。
数据外泄与影响(Impact): 最终,攻击者可以窃取敏感数据、部署勒索软件、或者保持长期驻留进行持续性情报收集。CVE-2026-40140 的 DoS 漏洞则可作为战术打击手段——在特定时间点瘫痪远程支持能力,阻碍安全团队的应急响应。
关联的 MITRE ATT&CK 技术映射
根据上述攻击链,核心技术映射如下:
- T1190 利用面向公众的应用程序(Exploit Public-Facing Application):CVE-2026-40138/40139 的预认证利用属于此技术。
- T1078.004 云账户有效账户(Valid Accounts: Cloud Accounts):历史事件中通过窃取的 API 密钥访问 SaaS 环境。
- T1505.003 服务器软件组件 Web Shell(Server Software Component: Web Shell):CVE-2026-1731 利用活动中部署的持久化手段。
- T1059 命令与脚本解释器(Command and Scripting Interpreter):CVE-2026-1731 的 WebSocket RCE。
- T1021 远程服务(Remote Services):劫持远程支持会话进行横向移动。
- T1550.001 应用访问令牌(Use Alternate Authentication Material: Application Access Token):API 密钥的窃取和滥用。
- T1485 数据破坏(Data Destruction)/ T1499 终端拒绝服务(Endpoint Denial of Service):CVE-2026-40140 的资源耗尽。
- T1071 应用层协议(Application Layer Protocol):通过合法 HTTP/HTTPS 通道进行 C2 通信。
- T1530 云存储对象的数据窃取(Data from Cloud Storage Object):攻击链末段的云环境数据外泄。
防御优先级与响应行动
针对本次漏洞披露和历史攻击模式,奇安信威胁情报中心建议采取以下行动:
第一优先级:立即确认版本并打补丁。 所有运行 RS 25.3.2 或以下版本的自建部署客户应立即升级到 25.3.3 或以上版本,或安装 2026 年 4 月安全补丁包。云托管客户已在 4 月 21 日完成自动修复,但仍应确认补丁状态并审查补丁窗口期内的访问日志。
第二优先级:审查认证配置。 重点检查是否存在混合认证路径(本地账户 + SSO/LDAP/RADIUS),特别是本地回退账户的权限范围和活跃状态。任何不再需要的本地账户应被禁用或删除。对于特权角色,强制启用多因素认证(MFA),包括本地账户的回退 MFA。
第三优先级:日志审计与威胁狩猎。 重点审查补丁安装前一个月的设备日志:失败的认证请求激增、异常的理员会话、未知本地账户的创建、角色权限变更、新的 API 令牌生成、非预期的支持会话和文件传输活动、异常的出站连接。与正常运维时段对比,任何偏离基线模式的会话都应被标记。
第四优先级:网络控制加固。 将管理接口限制在受信网络段,不要将 RS/PRA 的管理控制台直接暴露在公网上。部署 WAF 或反向代理层来过滤恶意请求。确保 SIEM 系统已接入 RS/PRA 设备日志,并且日志字段足够丰富以支持关联分析。
第五优先级:外部资产清查。 互联网暴露的 RS/PRA 设备应纳入外部攻击面管理(EASM)体系,清查包括主机名、证书名、云负载均衡器、反向代理和灾备设备在内的所有暴露点。历史 DNS 记录和测试系统不应被遗漏。
技术附录
附录一:受影响产品与修复版本
| 产品 | 受影响版本 | 修复版本 | 部署模式补丁状态 | | — | — | — | — | | BeyondTrust Remote Support (RS) | 25.3.2 及以下 | 25.3.3+ | 云端已于 2026-04-21 自动修复,自建需手动升级 | | BeyondTrust Privileged Remote Access (PRA) | 25.3.2 及以下 | 25.3.3+ | 云端已于 2026-04-21 自动修复,自建需手动升级 |
附录二:漏洞技术细节汇总
| CVE 编号 | CVSS v4 评分 | 严重等级 | 受影响产品 | 漏洞类型 | CWE | 利用前置条件 | | — | — | — | — | — | — | — | | CVE-2026-40138 | 9.2 | 严重 | RS, PRA | 认证绕过 | CWE-287(身份验证不当) | 特定认证配置启用,网络可达 | | CVE-2026-40139 | 9.2 | 严重 | RS | 认证绕过 | CWE-287(身份验证不当) | 特定认证配置启用,远程未认证 | | CVE-2026-40140 | 8.7 | 高危 | RS, PRA | 拒绝服务 | CWE-400(不可控资源消耗) | 无需认证,远程可利用 | | CVE-2026-40141 | 8.5 | 高危 | RS, PRA | 越权访问 | CWE-20(输入校验不当) | 需认证且具备特定权限 |
附录三:历史关联漏洞与攻击活动
| CVE 编号 / 事件 | 时间 | 描述 | 威胁影响 | | — | — | — | — | | CVE-2024-12356 | 2024 年末 | API 密钥窃取漏洞 | 用于入侵 BeyondTrust SaaS 环境,关联美国财政部事件 | | CVE-2024-12686 | 2024 年末 | 相关入侵链 | 与 12356 配合使用 | | CVE-2026-1731 | 2026 年 2 月 | 预认证 RCE(WebSocket) | 在野利用,部署 Web Shell 和后门,横向移动,数据窃取 | | CVE-2026-40138/40139 | 2026 年 7 月披露 | 认证绕过 | 截至披露时尚未确认在野利用 |
附录四:MITRE ATT&CK 技术映射
| 技术编号 | 技术名称 | 对应攻击行为 | | — | — | — | | T1190 | 利用面向公众的应用程序 | CVE-2026-40138/40139/1731 的预认证利用 | | T1078.004 | 有效账户:云账户 | 窃取的 API 密钥访问 SaaS 环境 | | T1550.001 | 应用访问令牌 | API 密钥的窃取与滥用 | | T1505.003 | Web Shell | 持久化访问手段 | | T1059 | 命令与脚本解释器 | WebSocket RCE 执行系统命令 | | T1021 | 远程服务 | 劫持远程支持会话进行横向移动 | | T1071 | 应用层协议 | 通过合法 HTTP/HTTPS 通道进行 C2 通信 | | T1485 | 数据破坏 | DoS 攻击导致设备不可用 | | T1499 | 终端拒绝服务 | CVE-2026-40140 资源耗尽 | | T1530 | 云存储对象数据窃取 | 云环境数据外泄 |
附录五:失陷指标(IOC)
本次披露的四个 CVE 尚未发现公开的在野利用 IOC。以下为历史关联事件中可能出现的通用指标:
| 类型 | 指标 | 说明 | | — | — | — | | 行为指标 | RS/PRA 设备上出现未知 Web Shell 文件 | 与 CVE-2026-1731 利用活动关联 | | 行为指标 | RS/PRA 设备上出现未知计划任务或系统服务 | 后门持久化迹象 | | 行为指标 | 管理员会话中出现异常 IP 地理位置 | 异常管理访问 | | 行为指标 | 认证失败次数在短时间内激增 | 可能存在暴力破解或扫描探测 | | 日志指标 | 设备上出现新的未知本地账户 | 未授权账户创建 | | 日志指标 | 设备 API 令牌在非维护窗口被重新生成 | API 密钥可能被窃取或滥用 | | 网络指标 | RS/PRA 设备向未知的外部 IP 发起出站连接 | 数据外泄或 C2 通信 |
附录六:互联网暴露面参考数据
根据 Shadow Server 基金会的互联网观测数据,全球约有近 2000 台 BeyondTrust RS/PRA 设备暴露在公网上。该数据可能包含已打补丁的设备和安全研究用途的蜜罐,实际仍处于未修复状态的设备数量可能远低于此值,但仍构成不可忽视的攻击面。
参考来源
- BeyondTrust 修复 Remote Support 和 PRA 中的严重认证绕过漏洞: https://news.lavx.hu/article/beyondtrust-fixes-critical-auth-bypass-flaws-in-remote-support-and-pra
- 严重BeyondTrust身份验证漏洞使企业远程访问系统面临重大风险 + 视频 – UNDERCODE NEWS: https://undercodenews.com/critical-beyondtrust-authentication-flaws-put-enterprise-remote-access-systems-at-serious-risk-video/
- “BeyondTrust 远程接入解决方案存在2项认证绕过漏洞…管理员账户暴露风险 – DailySec: https://www.dailysecu.com/news/articleView.html?idxno=207491
- BeyondTrust 修复严重的 RS、PRA 零日漏洞,可绕过身份验证并实现远程代码执行: https://thecyberedition.com/beyondtrust-fixes-critical-rs-pra-0-day-flaws-allowing-auth-bypass-rce/
- BeyondTrust 修复远程支持和 PRA 中的严重身份验证绕过漏洞: https://buaq.net/go-427454.html
- BeyondTrust 修复远程支持和 PRA 中的关键身份验证漏洞: https://www.cyberdeutsch.news/posts/3262-beyondtrust-schliesst-kritische-authentifizierungsfehler-in-remote-support-und/
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:奇安信威胁情报中心 威胁情报中心 威胁情报中心《BeyondTrust 远程接入平台四枚高危漏洞全拆解:从认证绕过到”零信任”信任崩塌的完整攻击链》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论