CISA เตือนช่องโหว่ RCE บน BeyondTrust ถูกใช้ในการโจมตี Ransomware แล้ว

CISA ออกคำเตือนว่าช่องโหว่ Critical CVE-2026-1731 บน BeyondTrust Remote Support ถูกแฮกเกอร์นำไปใช้ในแคมเปญ Ransomware แล้ว แนะนำผู้ดูแลระบบแพตช์โดยด่วน

ช่องโหว่ดังกล่าวเป็นประเภท Pre-authentication Remote Code Execution (RCE) ที่เกิดจากปัญหา OS Command Injection ซึ่งส่งผลกระทบต่อ BeyondTrust Remote Support เวอร์ชัน 25.3.1 และต่ำกว่า รวมถึง Privileged Remote Access เวอร์ชัน 24.3.4 และต่ำกว่า โดยผู้โจมตีสามารถใช้ช่องโหว่นี้รันคำสั่งบนระบบเป้าหมายผ่านการส่ง request ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยัง endpoint ที่มีช่องโหว่ได้โดยไม่ต้องมีการ authenticate ก่อน BeyondTrust เปิดเผยช่องโหว่นี้ครั้งแรกเมื่อวันที่ 6 กุมภาพันธ์ 2026 และหลังจากนั้นไม่นาน PoC exploit ก็ถูกเผยแพร่สู่สาธารณะ ส่งผลให้เกิดการโจมตีจริงตามมาอย่างรวดเร็ว

อย่างไรก็ตาม BeyondTrust ระบุภายหลังว่าพบการโจมตีตั้งแต่วันที่ 31 มกราคม ก่อนที่จะมีการเปิดเผยช่องโหว่อย่างเป็นทางการ ทำให้ CVE-2026-1731 เป็นช่องโหว่ Zero-day อย่างน้อยหนึ่งสัปดาห์ CISA ได้เพิ่มช่องโหว่นี้เข้าสู่ Known Exploited Vulnerabilities (KEV) catalog เมื่อวันที่ 13 กุมภาพันธ์ พร้อมกำหนดให้หน่วยงานรัฐบาลกลางต้องแพตช์ภายใน 3 วัน และล่าสุดได้เปิดสถานะ “Known To Be Used in Ransomware Campaigns” ยืนยันว่าช่องโหว่นี้ถูกใช้ในการโจมตี Ransomware จริงแล้ว

สำหรับลูกค้าที่ใช้งานแบบ Cloud (SaaS) นั้น BeyondTrust ได้ปล่อยแพตช์อัตโนมัติไปตั้งแต่วันที่ 2 กุมภาพันธ์แล้ว จึงไม่ต้องดำเนินการใดเพิ่มเติม แต่ลูกค้าที่ใช้งานแบบ Self-hosted จำเป็นต้องเปิด automatic update แล้วตรวจสอบผ่านหน้า /appliance interface หรือติดตั้งแพตช์ด้วยตนเอง โดย BeyondTrust แนะนำให้อัปเดต Remote Support ไปยังเวอร์ชัน 25.3.2 และ Privileged Remote Access ไปยังเวอร์ชัน 25.1.1 หรือใหม่กว่า ส่วนผู้ที่ยังใช้ Remote Support เวอร์ชัน 21.3 และ Privileged Remote Access เวอร์ชัน 22.1 ควรอัปเกรดเป็นเวอร์ชันที่ใหม่กว่าก่อนจึงจะสามารถติดตั้งแพตช์ได้

ที่มา: https://www.bleepingcomputer.com/news/security/cisa-beyondtrust-rce-flaw-now-exploited-in-ransomware-attacks/