Cyberkriminelle nutzen eine kritische Sicherheitslücke (CVE-2026-1731) in BeyondTrust-Produkten zur Bereitstellung von Web-Shells, Backdoors und zum Diebstahl sensibler Daten aus verschiedenen Branchen weltweit.
Angreifer setzen eine kürzlich offengelegte kritische Sicherheitslücke in den Remote-Support- und Privileged-Remote-Access-Produkten von BeyondTrust aktiv für umfangreiche Cyberanschläge ein. Das Sicherheitsleck, registriert unter CVE-2026-1731 mit einem CVSS-Score von 9,9, ermöglicht es Angreifern, Betriebssystembefehle im Kontext des Site-Benutzers auszuführen.
Laut einer am Donnerstag veröffentlichten Analyse von Palo Alto Networks Unit 42 wird die Sicherheitslücke bereits in freier Wildbahn ausgenutzt. Die dokumentierten Angriffsszenarien reichen von Netzwerk-Aufklärung über die Installation von Web-Shells und Command-and-Control-Systemen bis hin zu Backdoor-Platzierung, Remote-Zugriffswerkzeugen, lateralen Bewegungen im Netzwerk und Datenbeschaffung. Betroffen sind Organisationen aus Finanzdienstleistungen, Recht, Technologie, Hochschulwesen, Groß- und Einzelhandel sowie Gesundheitswesen in den USA, Frankreich, Deutschland, Australien und Kanada.
Die Experten beschreiben das Leck als Validierungsmangel im “thin-scc-wrapper”-Skript, das über eine WebSocket-Schnittstelle erreichbar ist. Dies ermöglicht Angreifern, beliebige Shell-Befehle einzuschleusen und auszuführen. “Obwohl dieses Konto vom Root-Benutzer unterschiedlich ist, gewährt die Kompromittierung dem Angreifer de facto Kontrolle über die Appliance-Konfiguration, verwaltete Sessions und den Netzwerkverkehr”, erläutert Sicherheitsforscher Justin Moore.
Unit 42 zieht Parallelen zur früheren CVE-2024-12356 und beschreibt ein “wiederkehrendes Problem mit der Eingabevalidierung in verschiedenen Ausführungspfaden”. Während die ältere Sicherheitslücke in PostgreSQL-Software auftrat, betrifft CVE-2026-1731 direkt den BeyondTrust-Code. Die Tatsache, dass CVE-2024-12356 von China-nahen Gruppen wie Silk Typhoon exploitiert wurde, lässt auf ein hohes Missbrauchspotenzial für fortgeschrittene Angreifer bei der neuen Lücke schließen.
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat ihre Liste bekannter ausgenutzte Sicherheitslücken aktualisiert und bestätigt, dass CVE-2026-1731 bereits in Ransomware-Kampagnen zum Einsatz kommt. Laut BeyondTrust wurden erste Ausnutzungsversuche bereits am 31. Januar 2026 auf einer Remote-Support-Appliance erkannt – mindestens eine Woche vor der öffentlichen Offenlegung am 6. Februar 2026. Das Unternehmen berichtet, dass die Angriffe hauptsächlich auf ungepatche, selbst gehostete Systeme abzielten, die bis zum 9. Februar 2026 nicht aktualisiert wurden.
Quelle: The Hacker News