Kritiek lek in BeyondTrust Remote Support actief misbruikt bij aanvallen

In dit artikel:

Beheerders van systemen worden gewaarschuwd voor actieve misbruik van een kritische fout in BeyondTrust Remote Support, een tool waarmee IT-teams desktops, servers en smartphones op afstand beheren. De kwetsbaarheid, geregistreerd als CVE-2026-1731, stelt een ongeauthenticeerde aanvaller in staat om via speciaal opgemaakte requests willekeurige code op een getroffen on-premises server uit te voeren; de ernstscore is 9,9 op 10. BeyondTrust bracht op 6 februari een update uit voor de on-premises installatie (de cloudvariant was eerder gepatcht).

Op 11 februari verscheen proof‑of‑conceptcode online en binnen een etmaal werden de eerste exploitatiepogingen gedetecteerd, melden beveiligingsbedrijven als GreyNoise, watchTowr en Defused. watchTowr-onderzoeker Ryan Dewhurst raadt organisaties die de patch nog niet hebben geïmplementeerd aan uit te gaan van een mogelijke inbraak. Twee jaar geleden leidde een vergelijkbare kwetsbaarheid in dezelfde oplossing al tot gerichte aanvallen, onder meer op het Amerikaanse ministerie van Financiën.

Rapid7 wijst erop dat het brede gebruik van BeyondTrust — met naar eigen zeggen dienstverlening aan meer dan twintigduizend klanten in meer dan honderd landen, waaronder veel Fortune 100‑bedrijven — het product aantrekkelijk maakt voor gesofisticeerde aanvallers. Praktische stappen voor organisaties zijn: de patch onmiddellijk toepassen, verdachte activiteit en logs controleren, en indien nodig een incidentresponstraject starten en netwerktoegang beperken om laterale beweging te voorkomen.