【安全资讯】CISA警告：BeyondTrust RCE漏洞现已被用于勒索软件攻击

概要：

美国网络安全和基础设施安全局（CISA）近日发出紧急警告，一个影响BeyondTrust远程支持产品的严重远程代码执行漏洞（CVE-2026-1731）正被黑客积极利用于勒索软件攻击。该漏洞允许攻击者在无需身份验证的情况下执行任意代码，对使用受影响版本软件的组织构成了严重威胁，促使CISA要求联邦机构在极短时间内完成修补。

主要内容：

CVE-2026-1731漏洞存在于BeyondTrust的Remote Support 25.3.1及更早版本和Privileged Remote Access 24.3.4及更早版本中。其本质是一个操作系统命令注入漏洞，攻击者通过向易受攻击的端点发送特制的客户端请求，即可实现远程代码执行。该漏洞最初由BeyondTrust于2月6日披露。

概念验证（PoC）利用代码在漏洞披露后不久便出现，随即在野外被检测到实际攻击。BeyondTrust在2月13日更新公告，确认早在1月31日就已检测到利用活动，这意味着该漏洞作为零日漏洞被利用了至少一周。研究人员Harsh Jaiswal和Hacktron AI团队的报告证实了相关异常活动。

鉴于攻击态势升级，CISA已在其已知被利用漏洞（KEV）目录中激活了“已知用于勒索软件活动”的指示标志。对于云服务（SaaS）客户，供应商已于2月2日自动应用补丁。自托管实例的客户则需启用自动更新并通过“/appliance”界面验证补丁状态，或手动安装补丁。

受影响的用户应立即采取行动。Remote Support用户应升级至25.3.2版本，Privileged Remote Access用户应切换至25.1.1或更高版本。仍在使用RS v21.3和PRA v22.1版本的用户，建议先升级到较新版本再应用补丁，以彻底消除安全风险。