Unit 42 stuft die Schwachstelle als Fehler bei der Bereinigung von Eingaben ein. Angreifer können das betroffene Skript “thin-scc-wrapper” missbrauchen, das über eine WebSocket-Schnittstelle erreichbar ist, um beliebige Shell-Befehle im Kontext des Site-Benutzers einzuschleusen und auszuführen.
“Auch wenn dieses Konto vom Root-Benutzer getrennt ist, verschafft seine Kompromittierung dem Angreifer faktisch die Kontrolle über die Konfiguration der Appliance, über die verwalteten Sitzungen und über den Netzwerkverkehr”, erklärte der Sicherheitsforscher Justin Moore. Das beobachtete Spektrum der Angriffe reicht von Aufklärung bis hin zum Einrichten von Backdoors.
Nach Darstellung von Unit 42 verweist der Zusammenhang zwischen CVE-2026-1731 und der älteren CVE-2024-12356 auf ein wiederkehrendes Problem bei der Eingabevalidierung in unterschiedlichen Ausführungspfaden. Während die unzureichende Prüfung bei CVE-2024-12356 Drittsoftware (postgres) betraf, lag das Problem bei CVE-2026-1731 in der Codebasis von BeyondTrust Remote Support sowie in älteren Versionen von Privileged Remote Access.
Da CVE-2024-12356 von China-nahen Akteuren wie Silk Typhoon ausgenutzt wurde, hält das Sicherheitsunternehmen es für möglich, dass auch CVE-2026-1731 ins Visier hochentwickelter Angreifer gerät. Die US-Behörde CISA aktualisierte ihren Eintrag im KEV-Katalog zu der Lücke, um zu bestätigen, dass diese in Ransomware-Kampagnen ausgenutzt wurde.
In einer Aktualisierung seiner Sicherheitsmeldung gab BeyondTrust an, erste Ausnutzungsversuche seien am 31. Januar 2026 festgestellt worden, nachdem auf einer einzelnen Remote-Support-Appliance “anomale Aktivitäten” aufgefallen waren – mindestens eine Woche vor der öffentlichen Bekanntgabe am 6. Februar 2026.
Nach Unternehmensangaben unterstützt BeyondTrust eine begrenzte Zahl selbst gehosteter Kunden bei der Reaktion auf aktive Ausnutzungsversuche. Die beobachteten Aktivitäten beschränkten sich demnach auf aus dem Internet erreichbare, selbst gehostete Umgebungen, in denen der Patch nicht vor dem 9. Februar 2026 eingespielt worden war.
