Unit 42 meldet aktive Ausnutzung der BeyondTrust-Lücke CVE-2026-1731
Die Schwachstelle CVE-2026-1731 in BeyondTrust Remote Support und älteren Privileged-Remote-Access-Versionen wird aktiv ausgenutzt und ermöglicht unauthentifizierte Codeausführung mit Folgerisiken wie Webshells und Datendiebstahl.
- CVE-2026-1731 ist eine Pre-Auth-RCE-Lücke in BeyondTrust RS und bestimmten PRA-Versionen.
- Beobachtete Angriffe reichen von Recon und Account-Anlage bis zu Lateral Movement und Datenabfluss.
- Betroffene Branchen und Länder umfassen nach der Analyse unter anderem Finanzdienstleister sowie Ziele in Deutschland und Frankreich.
- Die Lücke gilt als kritisch, weil sie ohne Login ausnutzbar ist und viele Instanzen im Internet erreichbar sind.
Ein kritischer Sicherheitsfehler in BeyondTrust Remote Support (RS) und bestimmten älteren Versionen von Privileged Remote Access (PRA) wird nach aktuellen Beobachtungen aktiv ausgenutzt. Unit 42, die Threat-Intelligence-Einheit von Palo Alto Networks, beschreibt in einem Bericht vom 19. Februar 2026 eine Angriffswelle rund um die Schwachstelle CVE-2026-1731, die eine Remote-Code-Execution ohne vorherige Authentifizierung ermöglicht.
Der Bericht ordnet die Lücke als Pre-Auth-RCE ein, bei der Angreifer Betriebssystem-Kommandos im Kontext des sogenannten „site user“ ausführen können. In den untersuchten Kompromittierungen beobachtete Unit 42 typische Schritte eines vollständigen Intrusionspfads: Netzwerkaufklärung, das Anlegen oder Missbrauchen von Accounts, das Platzieren von Webshells, anschließenden Command-and-Control-Verkehr, das Nachladen von Backdoors bzw. Remote-Management-Tools, laterale Bewegung im Netzwerk und schließlich Datenabfluss. Betroffene Fälle wurden in mehreren Ländern gesehen, darunter die USA, Frankreich und Deutschland; als betroffene Sektoren werden unter anderem Finanzdienstleistungen, Rechtsdienstleistungen, High-Tech, Hochschulen, Handel und Gesundheitswesen genannt.
Technisch führt Unit 42 die Ausnutzung auf die Komponente „thin-scc-wrapper“ zurück, die über eine WebSocket-Schnittstelle erreichbar ist. Beim WebSocket-Handshake wird ein Feld namens „remoteVersion“ verarbeitet, das eigentlich für Versionskompatibilitätsprüfungen gedacht ist. Die Auswertung erfolgt jedoch in Bash-Arithmetik-Kontexten, in denen – bei unzureichender Eingabebereinigung – auch Kommando-Substitutionen ausgeführt werden können. Angreifer können so eine präparierte Zeichenkette einschleusen, die vor der eigentlichen Versionsprüfung Betriebssystem-Kommandos auslöst. Unit 42 beschreibt dabei ein Muster, das in Proof-of-Concept-Code als Format wie „a[$(cmd)]0“ auftaucht.
Die Schwere wird mit einem CVSS-v4-Score von 9.9 als „critical“ bewertet. Unit 42 nennt zudem eine eigene Telemetrieeinschätzung: In ihrer Internet-Exposure-Sicht wurden zum Zeitpunkt der Veröffentlichung mehr als 16.400 exponierte Instanzen identifiziert, die als verwundbar eingestuft wurden. BeyondTrust hatte bereits Anfang Februar Updates bereitgestellt und sie nach eigener Darstellung bei Instanzen mit aktivem Update-Service automatisch ausgerollt; die Security Advisory BT26-02 dokumentiert außerdem, dass ab dem 10. Februar erste Ausnutzungsversuche beobachtet wurden und weiterhin Kunden bei der Untersuchung unterstützt werden.
Für die Einordnung ist relevant, dass Remote-Support- und Privileged-Access-Systeme häufig an kritischen Netzschnittstellen stehen und in der Praxis weitreichende Berechtigungen besitzen. Das macht erfolgreiche Pre-Auth-RCEs besonders gefährlich: Sie können nicht nur den betroffenen Appliance-Host kompromittieren, sondern als Sprungbrett in interne Systeme dienen. Der NVD-Eintrag zur CVE beschreibt die Lücke als Betriebssystem-Command-Injection und verlinkt auf die Hersteller-Advisory; Unit 42 ergänzt dazu konkrete Post-Exploitation-Muster wie Webshells und den Einsatz zusätzlicher Remote-Access-Werkzeuge.