Researchers Observe In-the-Wild Exploitation of BeyondTrust CVSS 9.9 Vulnerability
Mis à jour :
Exploitation Active d’une Vulnérabilité Critique dans BeyondTrust Remote Support
Des acteurs malveillants exploitent activement une faille de sécurité majeure récemment découverte dans les produits BeyondTrust Remote Support (RS) et Privileged Remote Access (PRA). Cette vulnérabilité, identifiée sous la référence CVE-2026-1731, présente un score CVSS de 9.9 et permet à un attaquant non authentifié d’exécuter des commandes à distance sur le système. L’exploitation semble passer par l’abus de la fonction get_portal_info pour extraire une valeur spécifique avant d’établir une connexion WebSocket.
Points Clés :
- Exploitation “in-the-wild” observée : Des chercheurs ont détecté des tentatives d’exploitation actives à travers leurs capteurs mondiaux.
- Méthode d’attaque : Utilisation de la fonction
get_portal_infopour l’extraction d’informations, suivie de l’établissement d’un canal WebSocket. - Impact potentiel : Exécution de commandes système sans authentification, entraînant un accès non autorisé, l’exfiltration de données et des interruptions de service.
- Rapidité de l’exploitation : Les acteurs malveillants ont rapidement transformé les preuves de concept en attaques réelles, réduisant la fenêtre de réaction des organisations.
- Surveillance accrue : Des analyses ont montré une augmentation des tentatives de reconnaissance visant cette vulnérabilité peu après la divulgation de l’exploit.
Vulnérabilités mentionnées (avec CVE et score CVSS si disponibles) :
- CVE-2026-1731 (CVSS 9.9) : Vulnérabilité critique dans BeyondTrust Remote Support et Privileged Remote Access permettant l’exécution de code à distance sans authentification.
- CVE-2026-20700 (CVSS 7.8) : Vulnérabilité dans les systèmes d’exploitation d’Apple (iOS, macOS, etc.) permettant l’exécution de code arbitraire. Potentiellement utilisée dans des attaques sophistiquées.
- CVE-2025-15556 (CVSS 7.7) : Vulnérabilité dans Notepad++ concernant le téléchargement de code sans vérification d’intégrité, permettant l’exécution de code arbitraire. Attribuée à un acteur étatique lié à la Chine (Lotus Blossom).
- CVE-2025-40536 (CVSS 8.1) : Vulnérabilité dans SolarWinds Web Help Desk permettant le contournement des contrôles de sécurité pour un accès à des fonctionnalités restreintes.
- CVE-2024-43468 (CVSS 9.8) : Vulnérabilité d’injection SQL dans Microsoft Configuration Manager permettant l’exécution de commandes sur le serveur ou la base de données.
Recommandations :
- Mise à jour des logiciels BeyondTrust :
- Remote Support : Appliquer le patch BT26-02-RS pour les versions 21.3 à 25.3.1. Les versions 25.1 et supérieures ne nécessitent pas de patch.
- Privileged Remote Access : Appliquer le patch BT26-02-PRA pour les versions 22.1 à 24.X. Les versions 25.1 et supérieures ne nécessitent pas de patch.
- Mise à jour de Notepad++ : Mettre à jour vers la version 8.9.1 ou ultérieure. Il est également recommandé de désactiver temporairement le mises à jour automatiques WinGUp lors de l’installation et de s’assurer que l’utilitaire de mise à jour communique uniquement avec des serveurs légitimes.
- Surveillance et réponse : Être vigilant face aux signes d’exploitation et disposer de plans de réponse rapides pour l’application des correctifs.
- Agences gouvernementales américaines (FCEB) : Respecter les échéances fixées par la CISA pour la correction des vulnérabilités listées dans le catalogue KEV (15 février 2026 pour CVE-2025-40536, et 5 mars 2026 pour les trois autres).