Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Истражувачи известуваат за активна злоупотреба на BeyondTrust ранливост со CVSS 9.9

Објавено: 13.02.2026

Според watchTowr, злоупотребувачи започнале да експлоатираат неодамна откриена критична безбедносна слабост која влијае на производите BeyondTrust Remote Support (RS) и Privileged Remote Access (PRA).

„Ноќеска забележавме прва експлоатација во природна средина на BeyondTrust преку нашите глобални сензори“, изјави Рајан Дехурст, раководител на одделот за разузнавање на закани во watchTowr, во објава на X. „Напаѓачите ја злоупотребуваат функцијата get_portal_info за да го извлечат x-ns-company вредноста пред да воспостават WebSocket канал.“

Станува збор за ранливоста CVE-2026-1731 (CVSS рејтинг: 9.9), која може да овозможи на неавторизиран напаѓач да изврши далечински код со испраќање специјално конструирани барања.

BeyondTrust минатата недела соопшти дека успешната експлоатација на оваа слабост може да овозможи на неавторизиран напаѓач да извршува команди на оперативниот систем во контекст на корисникот на сајтот, што резултира со неовластен пристап, ексфилтрација на податоци и прекин на услугата. Слабоста е поправена во следните верзии:

  • Remote Support – Patch BT26-02-RS, верзија 25.3.2 и понатаму
  • Privileged Remote Access – Patch BT26-02-PRA, верзија 25.1.1 и понатаму

Користењето на CVE-2026-1731 покажува колку брзо злоупотребувачите можат да оружат нови ранливости, значително намалувајќи го времето за одбранбените тимови да ги заштитат критичните системи.

CISA додава 4 ранливости во KEV каталогот

Овој развој се случува додека Американската агенција за сајбер безбедност и инфраструктурна безбедност (CISA) додаде четири ранливости во својот каталог на познати експлоатирани ранливости (KEV), наведувајќи докази за активна експлоатација. Листата на ранливости е следна:

  • CVE-2026-20700 (CVSS: 7.8) – Недоволна контрола на операции во рамките на мемориски бафер во Apple iOS, macOS, tvOS, watchOS и visionOS, што може да овозможи на напаѓач со можност за пишување во меморија да изврши произволен код.
  • CVE-2025-15556 (CVSS: 7.7) – Ранливост при преземање код без проверка на интегритет во Notepad++ која може да овозможи на напаѓач да пресретне или преусмери сообраќај за ажурирања, да преземе и изврши инсталер под контрола на напаѓачот, доведувајќи до извршување на произволен код со привилегиите на корисникот.
  • CVE-2025-40536 (CVSS: 8.1) – Ранливост за заобиколување на безбедносна контрола во SolarWinds Web Help Desk која може да овозможи на неавторизиран напаѓач пристап до одредени ограничени функции.
  • CVE-2024-43468 (CVSS: 9.8) – SQL инјекција во Microsoft Configuration Manager која може да овозможи на неавторизиран напаѓач да изврши команди на серверот и/или на базата на податоци со испраќање специјално конструирани барања.

Важно е да се напомене дека CVE-2024-43468 беше поправена од Microsoft во октомври 2024 како дел од Patch Tuesday ажурирањата. Засега не е јасно како оваа ранливост се експлоатира во реални напади, ниту има информации за идентитетот на напаѓачите и обемот на таквите активности.

Додавањето на CVE-2024-43468 во KEV каталогот следи по неодамнешен извештај од Microsoft за повеќестепена интракција каде напаѓачите експлоатирале интернет-експонирани SolarWinds Web Help Desk (WHD) инстанции за да обезбедат првичен пристап и да се движат странично низ мрежата до други критични ресурси.

Сепак, Microsoft наведува дека не е јасно дали нападите експлоатирале CVE-2025-40551, CVE-2025-40536, или CVE-2025-26399, бидејќи нападите се случиле во декември 2025 на машини ранливи на старите и новите ранливости.

Што се однесува до CVE-2026-20700, Apple призна дека слабоста можеби била експлоатирана во екстремно сложен напад против специфични таргетирани индивидуи на верзии на iOS пред iOS 26, со можност да била искористена за испорака на комерцијален шпионски софтвер. Поправена е од Apple порано оваа недела.

Конечно, експлоатацијата на CVE-2025-15556 е припишана од Rapid7 на државно поддржан напаѓач поврзан со Кина, наречен Lotus Blossom (познат и како Billbug, Bronze Elgin, G0030, Lotus Panda, Raspberry Typhoon, Spring Dragon и Thrip), активен најмалку од 2009.

Целните напади се покажале дека испорачуваат претходно недокументиран backdoor наречен Chrysalis. Додека нападот на синџирот на снабдување бил целосно затворен на 2 декември 2025, компромитацијата на Notepad++ update pipeline се проценува дека траела речиси пет месеци, помеѓу јуни и октомври 2025.

Тимот на DomainTools Investigations (DTI) го опиша инцидентот како прецизен и како „тих, методичен напад“, што укажува на тајна мисија за собирање разузнавачки информации, дизајнирана да го одржува оперативниот шум на минимално ниво. Тие исто така го опишаа напаѓачот како субјект со склоност кон долги „dwell times“ (време на присуство во системот) и повеќегодишни кампањи.

Важно е што во рамките на кампањата Notepad++ изворниот код останал нетакнат, додека злоупотребата се случувала преку тројанизирани инсталери за испорака на злонамерни payload-и. Ова им овозможило на напаѓачите да заобиколат проверки на изворниот код и проверки на интегритетот, ефективно овозможувајќи им да останат непрепознати за подолг период, додаде DTI.

„Од нивната позиција внатре во инфраструктурата за ажурирања, напаѓачите не испраќале злонамерен код произволно до глобалната база на корисници на Notepad++“, се вели во соопштението. „Наместо тоа, тие покажале воздржаност, селективно преусмерувајќи сообраќај за ажурирања кон ограничен сет на цели – организации и индивидуи чиј статус, пристап или технички улоги ги правеле стратешки вредни.“

„Со злоупотреба на легитимен механизам за ажурирање кој се користи специјално од страна на развивачи и администратори, тие ја трансформирале рутинската одржување во таен влез за пристап до високо вредни цели. Кампањата покажува континуитет во целта, долгорочен фокус на регионално стратешко разузнавање, спроведена со понапредни, пофини и потешко детектибилни методи од претходните изданија.“

Со оглед на активната експлоатација на овие ранливости, агенциите на Federal Civilian Executive Branch (FCEB) имаат рок до 15 февруари 2026 за да го поправат CVE-2025-40536, а до 5 март 2026 да ги решат останатите три ранливости.

Извори:

  • The Hacker News – Researchers Observe In-the-Wild Exploitation of BeyondTrust CVSS 9.9 Vulnerability The Hacker News