Die Bomgar Remote Support-Plattform, die inzwischen unter dem BeyondTrust-Dach betrieben wird, ist in vielen deutschen Unternehmen als Verwaltungswerkzeug fest etabliert. Die Sicherheitsforscher bei Huntress beobachteten einen “deutlichen Anstieg” bei Exploitationsversuchen, die sich die CVE-2026-1731-Lücke zunutze machen. Diese kritische Sicherheitslücke erlaubt es unauthentifizierten Angreifern, beliebige Betriebssystem-Befehle ferngesteuert auszuführen.
Das besondere Risiko liegt in der Netzwerk-Position von RMM-Systemen. “Der Zugriff auf einen RMM-Server ist wie der Schlüssel zur Stadt,” erklärt Josh Allman von Huntress. Einmal in das RMM-System eingedrungen, können Angreifer auf alle verbundenen Kundenumgebungen zugreifen — bei MSPs oder Softwareanbietern potentiell hunderte oder tausende Organisationen.
Die dokumentierten Angriffe zeigen ein klares Muster: Angreifer zielten auf hochprivilegierte Bomgar-Konten in MSP-Umgebungen ab und platzieren Zugriffstools direkt auf Domain Controllern. Von dort aus können sie sich festsetzen und lateral in Kundennetzwerke vordringen. Bei mehreren Incidents wurden zusätzliche Administrator-Konten erstellt, um Persistenz sicherzustellen.
Besonders alarmierend ist die Verbindung zu Ransomware-Operationen. Huntress dokumentierte mindestens zwei Angriffe, bei denen LockBit-Ransomware über die kompromittierten Bomgar-Instanzen verteilt wurde. In anderen Fällen richteten Angreifer alternative RMM-Tools wie AnyDesk oder Atera ein, um ihre Kontrolle zu verstärken. Die Nutzung des leaking LockBit 3.0-Builders deutet auf organisierte Cyberkriminelle hin.
Dieser Trend — weg von traditioneller Malware hin zu missbräuchlicher Nutzung legitimer Remote-Management-Tools — erschwert die Detektion erheblich. Sicherheitsteams in deutschen Unternehmen müssen daher verstärkt auf verdächtige RMM-Aktivitäten überwachen: unerklärte Administrator-Konten, unerwartete RMM-Deployments und anomale Prozessaktivitäten bei Bomgar.
Das Kernproblem bleibt jedoch zeitlose Ernüchterung: Patches existieren, doch viele Systeme bleiben ungepatcht. Huntress empfiehlt als erste Maßnahme unmittelbare Patching-Kampagnen für BeyondTrust Remote Support und ältere Privileged Remote Access-Versionen. Deutsche MSPs und Softwareanbieter sollten ihre Kundenbasis proaktiv über notwendige Sicherheitsupdates informieren und deren Implementierung priorisieren. Die Lieferketten-Effekte dieser Verwundbarkeit machen es zur nationalen Cybersecurity-Priorität.