Jetzt patchen! Angreifer attackieren BeyondTrust-Fernwartungslösungen

Admins, die PCs in Firmen mit BeyondTrust Remote Support oder Privileged Remote Access verwalten, sollten die Fernwartungssoftware umgehend auf den aktuellen Stand bringen. Derzeit nutzen Angreifer eine Schwachstelle aus, über die Schadcode auf Systeme gelangt.

Hintergründe

Vor den Attacken warnt ein Sicherheitsforscher von watchTowr auf X. Er weist darauf hin, dass, wenn Systeme nicht gepatcht sind, sie mit hoher Wahrscheinlichkeit kompromittiert sind. Entdeckt haben die „kritische“ Lücke (CVE-2026-1731) Sicherheitsforscher von Hacktron.

Die gegen die derzeit laufenden Attacken abgesicherten Versionen Remote Support 25.3.2 und Privileged Remote Access 25.1.1 sind seit wenigen Tagen verfügbar, aber offensichtlich noch nicht flächendeckend installiert. Weil der Support für Versionen vor 21.3 und 22.1 eingestellt wurde, gibt es keine Sicherheitspatches mehr. Erst nach einem Upgrade auf eine aktuelle Version stehen die Updates zum Download bereit.

Bei SaaS-Kunden wurden die Patches seitens des Softwareherstellers installiert. Admins von On-Prem-Instanzen müssen jetzt handeln. Die Sicherheitsforscher von Hacktron geben an, dass rund 8500 potenziell verwundbare On-Prem-Instanzen öffentlich erreichbar sind.

Attacken sollen aus der Ferne und ohne Authentifizierung möglich sein. Im Anschluss können Angreifer die volle Kontrolle über Computer erlangen. Dabei sollen Angreifer get_portal_info auslesen, um Zugriff auf X-Ns-Company-Identifier zu bekommen. Im Anschluss richten sie einen WebSocket ein. Danach können sie Schadcode ausführen. In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt. Unklar ist auch, an welchen konkreten Parametern Admins bereits attackierte Instanzen erkennen können.

(des)