کمیته رکن چهارم – آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) اعلام کرد هکرها بهطور فعال از آسیبپذیری CVE-2026-1731 در محصولات BeyondTrust Remote Support سوءاستفاده میکنند؛ نقصی که امکان اجرای کد از راه دور پیش از احراز هویت را فراهم میکند.
به گزارش کمیته رکن چهارم، این آسیبپذیری نسخههای ۲۵٫۳٫۱ یا قدیمیتر از Remote Support و نسخههای ۲۴٫۳٫۴ یا قدیمیتر از Privileged Remote Access را تحت تأثیر قرار میدهد. نقص مذکور از نوع تزریق فرمان سیستمعامل (OS Command Injection) است و مهاجم میتواند با ارسال درخواستهای دستکاریشده به نقاط پایانی آسیبپذیر، بدون نیاز به احراز هویت، کنترل سامانه را در دست بگیرد.
ثبت در KEV و ضربالاجل سهروزه
CISA در ۱۳ فوریه ۲۰۲۶ این نقص را به فهرست Known Exploited Vulnerabilities (KEV) اضافه کرد و به نهادهای فدرال تنها سه روز فرصت داد تا وصله را اعمال کنند یا استفاده از محصول را متوقف سازند؛ اقدامی که نشاندهنده شدت تهدید است.
BeyondTrust ابتدا در ۶ فوریه ۲۰۲۶ این آسیبپذیری را افشا کرد، اما بعداً اعلام شد شواهدی از بهرهبرداری از ۳۱ ژانویه ۲۰۲۶ وجود دارد؛ به این معنا که این نقص دستکم یک هفته بهعنوان روز-صفر مورد سوءاستفاده قرار گرفته است. انتشار کدهای اثبات مفهوم (PoC) نیز به سرعت موج حملات را تشدید کرد.
CISA همچنین شاخص «استفاده در کارزارهای باجافزاری» را برای این آسیبپذیری فعال کرده است؛ موضوعی که احتمال بهرهبرداری آن در حملات گسترده باجافزاری را تقویت میکند.
وضعیت وصلهها
به گفته BeyondTrust، مشتریان نسخه ابری (SaaS) بهصورت خودکار در ۲ فوریه ۲۰۲۶ وصله شدهاند و نیازی به اقدام دستی ندارند. اما کاربران نسخههای خودمیزبان باید فوراً اقدام کنند.
نسخههای امن عبارتاند از:
Remote Support نسخه ۲۵٫۳٫۲ یا جدیدتر
Privileged Remote Access نسخه ۲۵٫۱٫۱ یا جدیدتر
این رخداد بار دیگر نشان میدهد ابزارهای دسترسی از راه دور و مدیریت امتیازات، بهدلیل جایگاه حیاتیشان در زیرساخت سازمانی، هدفی ارزشمند برای مهاجمان محسوب میشوند؛ چراکه یک بهرهبرداری موفق میتواند دروازهای مستقیم به هسته شبکه سازمان باز کند.
منبع: bleepingcomputer
