Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in BeyondTrust Remote Support, zo waarschuwen securitybedrijven. Op 6 februari verscheen een beveiligingsupdate voor het probleem. Via BeyondTrust Remote Support kunnen beheerders allerlei systemen op afstand beheren, waaronder desktops, servers en smartphones. De on-premises versie van de oplossing wordt geïnstalleerd op een fysieke of virtuele server waarvandaan de andere apparaten zijn te beheren.

Een kritieke kwetsbaarheid (CVE-2026-1731) in BeyondTrust Remote Support maakt het mogelijk voor een ongeauthenticeerde aanvaller om willekeurige code op het systeem uit te voeren. Hiervoor volstaat het versturen van speciaal geprepareerde requests. De impact van CVE-2026-1731 is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. BeyondTrust rolde op 6 februari updates voor de on-premises versie uit, nadat het eerder al de cloudversie had gepatcht.

Op 11 februari verscheen er proof-of-concept exploitcode online en nog geen 24 uur later werden de eerste aanvallen waargenomen, zo melden securitybedrijven GreyNoise, watchTowr en Defused. Organisaties die de patch nog niet hebben uitgerold moeten ervan uitgaan dat ze zijn gehackt, aldus Ryan Dewhurst van watchTowr. Een soortgelijke kwetsbaarheid in BeyondTrust Remote Support werd twee jaar geleden actief gebruikt bij aanvallen, onder andere op het Amerikaanse ministerie van Financiën.

Volgens securitybedrijf Rapid7 maakt de footprint van BeyondTrust het een aantrekkelijk doelwit voor 'geraffineerde aanvallers'. Het bedrijf zou identiteitsdiensten aan meer dan twintigduizend klanten in meer dan honderd landen bieden, waaronder driekwart van de Fortune 100-bedrijven.