CISA给联邦机构3天时间修补被积极利用的BeyondTrust漏洞

美国网络安全与基础设施安全局（CISA）于周五下令联邦机构在三天内对其BeyondTrust远程支持实例进行安全加固，以防止正在被积极利用的漏洞。

BeyondTrust为全球100多个国家的超过20,000家客户提供身份安全服务，其中包括政府机构和全球75%的《财富》100强企业。

该远程代码执行漏洞（CVE-2026-1731）源于操作系统命令注入弱点，影响BeyondTrust Remote Support 25.3.1及更早版本以及Privileged Remote Access 24.3.4及更早版本。

虽然BeyondTrust在2026年2月2日已为所有Remote Support和Privileged Remote Access SaaS实例发布补丁，但本地部署的客户必须手动安装补丁。

BeyondTrust在2月6日修补漏洞时表示：“成功利用可能允许未经身份验证的远程攻击者在站点用户的上下文中执行操作系统命令。成功利用不需要身份验证或用户交互，可能导致系统被攻陷，包括未授权访问、数据外泄和服务中断。”

安全研究机构Hacktron在1月31日发现并负责任地向BeyondTrust披露该漏洞后警告称，大约有11,000个BeyondTrust Remote Support实例在网络上暴露，其中约8,500个为本地部署。

在BeyondTrust发布CVE-2026-1731安全补丁六天后，watchTowr威胁情报负责人Ryan Dewhurst报告称攻击者已开始积极利用该安全缺陷，并警告管理员未打补丁的设备应视为已被攻陷。

联邦机构被要求立即修补

CISA随后确认了Dewhurst的报告，将该漏洞加入已知被利用漏洞（KEV）目录，并依据《绑定操作指令》（BOD）22-01要求联邦民用执行部门在2月16日（星期一）结束前完成BeyondTrust实例的安全加固。

美国网络安全机构警告称：“此类漏洞是恶意网络行为者常用的攻击向量，对联邦企业构成重大风险。请按照供应商指示应用缓解措施，遵循BOD 22-01针对云服务的相关指南，若无法获得缓解措施则停止使用该产品。”

CISA的警告紧随其他BeyondTrust安全缺陷之后，这些缺陷曾被用于侵入美国政府机构的系统。

例如，两年前美国财政部披露其网络被“Silk Typhoon”组织攻击，该组织利用了两个零日漏洞（CVE-2024-12356和CVE-2024-12686）入侵BeyondTrust系统，并使用被盗的API密钥进一步侵入包括财政部在内的17个Remote Support SaaS实例。

该中国国家支持的网络间谍组织还针对美国财政部的外国资产控制办公室（OFAC）和美国外国投资委员会（CFIUS）等部门发起攻击。