Les chercheurs ont détecté des attaques qui ont compromis les appareils Bomgar, dont beaucoup sont arrivés en fin de vie, créant des problèmes pour les entreprises cherchant à appliquer des correctifs.
Les chercheurs préviennent qu’une vulnérabilité critique corrigée cette semaine dans BeyondTrust Remote Support est exploitée de manière sauvage pour compromettre les déploiements auto-hébergés, y compris les appareils de support à distance Bomgar, qui incluaient les versions affectées du logiciel concerné.
Bomgar, fournisseur de produits de gestion des identités et des accès privilégiés, a acquis BeyondTrust en 2018, adoptant la marque de cette dernière. Les appliances matérielles sur site Bomgar, connues sous le nom d’appliances BeyondTrust B-series, fournissent un accès à distance sécurisé aux réseaux d’entreprise, mais de nombreux modèles matériels ont atteint leur fin de vie, les clients étant encouragés à passer soit à l’appliance virtuelle, soit aux offres SaaS de BeyondTrust : accès à distance privilégié (Cloud) et assistance à distance (Cloud).
Les chercheurs de la société de sécurité Arctic Wolf ont détecté des attaques compromettant les appareils Bomgar via la faille CVE-2026-1731 corrigée cette semaine. Les attaquants ont ensuite tenté de déployer l’outil de gestion et de surveillance à distance (RMM) SimpleHelp et d’effectuer un mouvement latéral vers d’autres systèmes du réseau.
« Les fichiers binaires SimpleHelp renommés ont été créés via les processus Bomgar en utilisant le compte SYSTEM », ont déclaré les chercheurs dans un rapport publié aujourd’hui. « Ces exécutables ont été enregistrés dans le répertoire racine de ProgramData et exécutés à partir de là. Les noms binaires incluent remote access.exe et d’autres.
Les attaquants ont également réussi à créer des comptes de domaine en utilisant le net user commande, puis les a ajoutés à des groupes administratifs tels que « administrateurs d’entreprise » ou « administrateurs de domaine ».
L’outil AdsiSearcher a été utilisé pour rechercher d’autres ordinateurs dans l’environnement Active Directory et PSexec a été utilisé pour installer SimpleHelp sur plusieurs appareils.
Les chercheurs ont également observé des demandes de configuration de session Impacket SMBv2 dans les environnements concernés. Impacket est une bibliothèque Python qui peut être utilisée pour décoder le trafic réseau et est souvent utilisée conjointement avec des outils de détection.
CVE-2026-1731 est une vulnérabilité critique d’injection de commandes de pré-authentification qui affecte BeyondTrust Remote Support (RS) et Privileged Remote Access (PRA). La société a publié des correctifs pour plusieurs versions du logiciel concerné, mais les anciennes versions de RS doivent d’abord être mises à jour avant que le correctif puisse être appliqué, ce qui pourrait poser un problème pour les appareils qui ne sont plus pris en charge et ont atteint leur fin de vie.
Un exploit de validation de principe a été publié sur GitHub, il n’est donc pas surprenant que des attaques aient suivi peu de temps après. En tant que solution d’accès à distance, BeyondTrust RS constitue une cible attrayante à la fois pour les attaquants parrainés par l’État et pour les groupes de ransomwares. Le Département du Trésor américain a vu certains de ses postes de travail compromis après que des pirates ont exploité des vulnérabilités dans les instances SaaS de BeyondTrust RS.
