Thought Leadership
Bereits einen Tag nach der Veröffentlichung eines Proof-of-Concept-Exploits haben Angreifer begonnen, eine kürzlich gepatchte kritische Sicherheitslücke in BeyondTrust-Produkten ins Visier zu nehmen.
Nachdem Anfang Februar ein funktionsfähiger Proof-of-Concept erschien, registrierten Security-Anbieter bereits nach 24 Stunden erste Angriffsversuche auf die als CVE-2026-1731 klassifizierte Lücke.
Unauthentifizierte Code-Ausführung möglich
Die Schwachstelle betrifft BeyondTrust Remote Support sowie Privileged Remote Access und erlaubt Angreifern ohne vorherige Authentifizierung die Ausführung von Schadcode. Möglich wird dies durch manipulierte Anfragen an die betroffenen Systeme.
Der Hersteller stellte am 6. Februar Patches bereit. Parallel dazu veröffentlichte Hacktron AI eine Warnung: Das Unternehmen hatte die Lücke Ende Januar identifiziert und bei seiner Analyse circa 11.000 über das Internet erreichbare Installationen ausgemacht, darunter schätzungsweise 8.500 potenziell verwundbare On-Premise-Systeme.
Hacktron betonte die Brisanz der Situation angesichts der breiten Nutzung dieser Privileged-Access-Management-Lösungen in Unternehmensnetzwerken.
Schnelle Reaktion der Angreifer-Szene
Das Threat-Intelligence-Unternehmen GreyNoise dokumentierte ab dem 11. Februar Scan-Aktivitäten, die gezielt nach verwundbaren BeyondTrust-Instanzen suchten. Der Großteil der beobachteten Suchläufe stammte von einer IP-Adresse, die über einen VPN-Provider in Frankfurt läuft und dort bereits seit 2023 als Scanner in Erscheinung tritt.
Mehrere der nun aktiven IP-Adressen waren in der Vergangenheit bereits an Angriffsversuchen auf SonicWall-, MOVEit-, Apache- und Sophos-Systeme beteiligt. Auch Brute-Force-Attacken und der Einsatz von Standard-Zugangsdaten gehörten zum Repertoire dieser Akteure.
WatchTowr und Defused bestätigten unabhängig voneinander, dass die Schwachstelle tatsächlich in freier Wildbahn ausgenutzt wird.
Produkte im Visier staatlicher Akteure
BeyondTrust-Software stand in jüngerer Vergangenheit wiederholt im Fokus fortgeschrittener Angreifergruppen. Ende 2024 soll die mutmaßlich chinesische Gruppe Silk Typhoon eine andere Sicherheitslücke für einen Angriff auf das US-Finanzministerium genutzt haben.
Nach Angaben von GreyNoise werden selbst ältere BeyondTrust-Schwachstellen, die erstmals 2024 ausgenutzt wurden, mindestens bis Januar 2026 weiterhin attackiert.
Empfehlung: Administratoren sollten verfügbare Updates umgehend einspielen und betroffene Systeme auf Anzeichen einer Kompromittierung untersuchen.
