Une vulnérabilité critique activement exploitée dans BeyondTrust RS

Ces attaques, détectées par des chercheurs, ont compromis des appliances de support à distance de Bomgar dont beaucoup ont atteint leur fin de vie. Un problème pour l'application des correctifs.

Plusieurs sociétés de sécurité ont lancé des alertes après l’exploitation rapide d’une faille critique dans BeyondTrust RS un outil de support à distance. La CVE-2026-1731 affiche un niveau de sévérité de 9,9 sur l’échelle CVSS. Elle vise principalement les appliances Bomgar fournissant un accès distant sécurisé aux réseaux d’entreprises qui arrivent en fin de vie. Les clients sont encouragés à passer soit à l’appliance virtuelle, soit aux offres SaaS de BeyondTrust, privileged remote access et remote support. Pour mémoire, Bomgar a racheté BeyondTrust en 2018 en prenant le nom de ce dernier.

Sur les détails de l’attaque, les chercheurs d’Artic Wolf ont expliqué que les cybercriminels se servaient de la faille pour déployer un autre outil de gestion et de surveillance à distance nommé SimpleHelp pour effectuer des déplacements latéraux dans le réseau. « Des binaires SimpleHelp renommés ont été créés via des processus Bomgar à l'aide du compte System », ont déclaré les chercheurs dans un rapport. Ils ajoutent « ces exécutables ont été enregistrés dans le répertoire racine ProgramData et exécutés à partir de là. Les noms des binaires incluent remote access.exe et d'autres. »

Des correctifs disponibles

Les attaquants ont également réussi à créer des comptes de domaine à l'aide de la commande net user, puis les ont ajoutés à des groupes d’administration comme « enterprise admins » ou « domain admins ». L'outil AdsiSearcher a été utilisé pour rechercher d'autres ordinateurs dans l'environnement Active Directory et PSexec a été utilisé pour installer SimpleHelp sur plusieurs appareils. Les chercheurs ont aussi observé des demandes de configuration de session Impacket SMBv2 dans les environnements affectés. Cette bibliothèque Python peut être utilisée pour décoder le trafic réseau et elle est souvent utilisée en conjonction avec des outils d’analyse de réseau.

La faille CVE-2026-1731 est une vulnérabilité critique d'injection de commande de pré-authentification qui affecte BeyondTrust Remote Support (RS) et Privileged Remote Access (PRA). L’entreprise a publié des correctifs pour plusieurs versions du logiciel concerné, mais les anciennes versions de RS doivent être mises à jour avant que le correctif puisse être appliqué, ce qui pourrait poser un problème pour les appliances qui ne sont plus pris en charge et ont atteint leur fin de vie. Une preuve de concept a été publiée sur GitHub, il n'est donc pas surprenant que des attaques aient suivi peu après. En tant que solution d'accès à distance, BeyondTrust RS est une cible intéressante, autant pour les pirates informatiques soutenus par des États que pour les groupes de ransomware. Le département du Trésor américain a vu certaines de ses stations de travail compromises après l’exploitation par des pirates des vulnérabilités dans les instances SaaS de BeyondTrust RS.