أعلنت شركة watchTowr أن مهاجمين بدأوا بالفعل في استغلال الثغرة الحرجة CVE-2026-1731 في منتجات BeyondTrust Remote Support (RS) وPrivileged Remote Access (PRA). الثغرة تحمل درجة خطورة CVSS: 9.9 وتسمح بتنفيذ أوامر نظام التشغيل عن بُعد دون مصادقة، ما يؤدي إلى وصول غير مصرح به، تسريب بيانات، وتعطيل الخدمات.
تم رصد الاستغلال عبر استدعاء وظيفة get_portal_info لاستخراج قيمة x-ns-company قبل إنشاء قناة WebSocket، وهو ما يمثل بداية سلسلة الهجوم.
الإصدارات المصححة
- Remote Support: الإصدار BT26-02-RS (v21.3 – 25.3.1).
- Privileged Remote Access: الإصدار BT26-02-PRA (v22.1 – 24.X).
جميع إصدارات PRA ابتداءً من 25.1 لا تتطلب تصحيحاً لهذه الثغرة.
نشاط الاستغلال في الميدان
بحسب GreyNoise وDefused Cyber، فقد ظهرت محاولات استغلال أقل من 24 ساعة بعد نشر كود إثبات المفهوم (PoC). وأوضحت GreyNoise أن عنوان IP واحد مسؤول عن 86% من جلسات الاستطلاع، مرتبط بخدمة VPN تجارية في فرانكفورت، ما يشير إلى عملية مسح منظمة أضافت الثغرة الجديدة بسرعة إلى أدواتها.
إضافة ثغرات جديدة إلى قائمة KEV
في سياق متصل، أضافت وكالة CISA أربع ثغرات إلى قائمة Known Exploited Vulnerabilities (KEV):
- CVE-2026-20700: ثغرة في أنظمة Apple (iOS, macOS, tvOS, watchOS, visionOS) مرتبطة بفساد الذاكرة.
- CVE-2025-15556: ثغرة في Notepad++ سمحت بتنزيل تعليمات برمجية خبيثة عبر آلية التحديث، مرتبطة بمجموعة صينية مدعومة من الدولة تُعرف باسم Lotus Blossom.
- CVE-2025-40536: ثغرة تجاوز ضوابط أمنية في SolarWinds Web Help Desk.
- CVE-2024-43468: ثغرة SQL Injection في Microsoft Configuration Manager، تم تصحيحها في أكتوبر 2024.
دلالات استراتيجية
الاستغلال السريع لـ CVE-2026-1731 يوضح مدى ضيق نافذة الوقت المتاحة أمام فرق الأمن لتطبيق التصحيحات قبل أن يتم تسليح الثغرات. كما أن الهجمات المرتبطة بـ Notepad++ أظهرت أن المهاجمين باتوا يستخدمون أساليب دقيقة وطويلة الأمد، مثل إدخال برمجيات خبيثة عبر آلية التحديث الرسمية دون تعديل الشيفرة المصدرية، ما يجعل اكتشافهم أكثر صعوبة.
