PoC公開から数時間で攻撃者がBeyondTrustのCVE-2026-1731を悪用
Original Title: Attackers exploit BeyondTrust CVE-2026-1731 within hours of PoC release
Published (UTC): 2026-02-13T06:19:09+00:00
要旨(日本語)
– BeyondTrustのRemote Support(RS)および旧版Privileged Remote Access(PRA)にプレ認証リモートコード実行(CVE-2026-1731、CVSS 9.9)の重大欠陥。
– 2026年2月6日に修正プログラムが提供され、未認証・ユーザー操作不要でOSコマンドを実行可能となるため、侵害・情報流出・サービス停止の深刻なリスク。
– Hacktron AIが広範な露出を警告し、約11,000のRSインスタンスがインターネットに公開、うち約8,500はオンプレで未適用リスクが高い。
– 影響は大規模組織に及び、医療、金融、政府、ホスピタリティなどの分野で多用されている。
– 2月10日にPoCがGitHubで公開され、24時間以内の2月11日にGreyNoiseが脆弱インスタンスへの偵察スキャンを観測。
– スキャンの86%を単一IPが占有し、商用VPN経由・Linux系ツールを用いた長期運用のスキャン基盤が関与。
– 多くが443以外の非標準ポートを狙い、運用側のポート移設を織り込んだ探索。JA4+指紋から共通ツールやVPNトンネルの利用が示唆。
– 同一IP群はSonicWall、MOVEit Transfer、Log4j、Sophosファイアウォール、SSHブルートフォース、IoT初期認証情報など他製品への攻撃も並行展開。
– 一部はOAST(アウト・オブ・バンド)コールバックで脆弱性有無を事前確認するなど、検証・侵入手口の高度化が見られる。
– BeyondTrustは高価値標的で、既存のゼロデイ連鎖が継続する中、新たな変種も素早く出現しており、迅速なパッチ適用と露出インスタンスの即時防御が必須。