Een kritieke kwetsbaarheid in BeyondTrust Remote Support en BeyondTrust Privileged Remote Access wordt gebruikt bij ransomware-aanvallen, aldus het Amerikaanse cyberagentschap CISA. Via BeyondTrust Remote Support kunnen beheerders allerlei systemen op afstand beheren, waaronder desktops, servers en smartphones. De on-premises versie van de oplossing wordt geïnstalleerd op een fysieke of virtuele server waarvandaan de andere apparaten zijn te beheren. Privileged Remote Access wordt gebruikt om 'privileged users', zoals systeembeheerders, toegang tot belangrijke systemen te geven.

Een kritieke kwetsbaarheid (CVE-2026-1731) in BeyondTrust Remote Support en Privileged Remote Access maakt het mogelijk voor een ongeauthenticeerde aanvaller om willekeurige code op het systeem uit te voeren. Hiervoor volstaat het versturen van speciaal geprepareerde requests. De impact van CVE-2026-1731 is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. BeyondTrust rolde op 6 februari updates voor de on-premises versie uit, nadat het eerder al de cloudversie had gepatcht.

Op 11 februari verscheen er proof-of-concept exploitcode online en nog geen 24 uur later werden de eerste aanvallen waargenomen. Het Amerikaanse cyberagentschap CISA houdt een overzicht van actief aangevallen kwetsbaarheden bij. Daarbij kan de overheidsinstantie ook aangeven of het lek bij ransomware-aanvallen wordt gebruikt. Op 13 februari werd het BeyondTrust-lek aan dit overzicht toegevoegd. Toen was het CISA nog niet bekend met ransomware-aanvallen waarbij de kwetsbaarheid werd ingezet. Gisteren werd de vermelding van CVE-2026-1731 aangepast, waarin het CISA nu wel laat weten dat ransomwaregroepen van het lek gebruikmaken. Verdere details over deze aanvallen zijn niet door het CISA gegeven.