Les entreprises sont invitées à corriger les versions auto-hébergées de Remote Support et Privileged Remote Access en raison d’une vulnérabilité de gravité 9,9 qui pourrait conduire à une compromission du système.
Les entreprises utilisant des versions auto-hébergées de BeyondTrust Remote Support (RS) ou Privileged Remote Access (PRA) doivent déployer des correctifs pour une vulnérabilité critique qui permet aux attaques d’exécuter des commandes du système d’exploitation sans authentification.
« Une exploitation réussie ne nécessite aucune authentification ni interaction de l’utilisateur et peut conduire à une compromission du système, notamment un accès non autorisé, une exfiltration de données et une interruption du service », a déclaré BeyondTrust dans un avis.
La société a publié le correctif BT26-02-RS pour les versions de support à distance 21.3 à 25.3.1 et le correctif BT26-02-PRA pour les versions d’accès à distance privilégié 22.1 à 24.X.
Les versions PRA 25.1 et supérieures ne sont pas affectées par cette vulnérabilité, cependant, les versions antérieures à celles couvertes par les correctifs sont impactées. Les utilisateurs des anciennes versions devront d’abord effectuer une mise à niveau avant d’appliquer le correctif.
La vulnérabilité, classée CVE-2026-1731, est notée 9,9 sur 10 sur l’échelle CVSS et a été découverte en janvier par la société de recherche en sécurité Hacktron AI.
L’équipe Hacktron a noté qu’environ 11 000 instances de BeyondTrust Remote Support sont actuellement exposées à Internet et a estimé qu’environ 8 500 d’entre elles sont des déploiements sur site nécessitant des correctifs. Les déploiements SaaS ont déjà été corrigés côté serveur.
« Cette vulnérabilité a été identifiée par Hacktron AI dans le cadre de notre travail d’analyse des variantes activé par l’IA », a indiqué l’équipe dans son rapport. « Cette découverte démontre l’efficacité de la combinaison d’une analyse basée sur l’IA avec une expertise en matière de recherche en sécurité pour découvrir des vulnérabilités critiques avant qu’elles ne puissent être exploitées dans la nature. »
BeyondTrust RS ciblé dans le passé
En 2024, le groupe de hackers parrainé par l’État chinois Silk Typhoon a exploité deux vulnérabilités zero-day, CVE-2024-12356 et CVE-2024-12686, pour compromettre les instances SaaS de BeyondTrust RS. L’une des victimes était le Département du Trésor américain, qui avait annoncé à l’époque que des attaquants avaient réussi à accéder à certains de ses postes de travail et à obtenir des informations non classifiées.
L’équipe Hacktron AI a caché les détails sur la nouvelle vulnérabilité afin de retarder les attaques malveillantes, mais il est probable que les pirates procéderont à une ingénierie inverse des correctifs. Le fait qu’elle puisse être exploitée sans authentification et qu’elle fournisse potentiellement un accès à distance à de nombreux systèmes d’entreprise rend cette faille très attrayante tant pour les groupes APT que pour les groupes de ransomwares.
« Bien que BeyondTrust n’ait pas signalé d’exploitation active de CVE-2026-1731 dans la nature, l’immense empreinte de la plateforme en fait une cible hautement prioritaire pour les adversaires sophistiqués », a déclaré la société de renseignement sur les vulnérabilités Rapid7. « BeyondTrust fournit des services de sécurité des identités à plus de 20 000 clients dans plus de 100 pays, dont 75 % des sociétés Fortune 100. »
