2月6日身分存取安全公司BeyondTrust發布資安公告,指出旗下的遠端支援(Remote Support,RS)系統及特權遠端存取(Privileged Remote Access,PRA)系統當中,存在重大層級的命令注入漏洞CVE-2026-1731,未經授權的攻擊者能藉由傳送特製請求,於曝險的RS或PRA平臺執行作業系統層級命令,CVSS v4.0風險評為9.9分(CVSS v3.1為9.8分),相當危險,且在公布不久出現有人嘗試利用的跡象,究竟駭客如何利用漏洞?有資安公司近日公布新的調查結果。
資安公司Palo Alto Networks旗下的威脅情報團隊Unit 42指出,他們已經觀察到廣泛的漏洞利用活動,範圍涵蓋美國、法國、德國、澳洲,以及加拿大等5個國家,受害企業遍及金融服務、法律服務、高科技產業、高等教育機構、批發與零售業,以及醫療保健領域。根據該公司的遙測資料,超過1.6萬個BeyondTrust執行個體(Instance)曝露在CVE-2026-1731的風險,呼籲IT人員要儘速採取行動。
針對駭客成功利用漏洞之後的行為,Unit 42指出包含網路偵察及建立帳號,然後部署Web Shell、後門程式,以及遠端管理工具,而且,也會橫向移動及竊取資料。
回顧CVE-2026-1731這項漏洞的揭露過程,最早是BeyondTrust資安團隊1月31日於其中一臺RS設備偵測到異常行為而發現,經外部資安研究員協助確認後,該公司於2月2日對SaaS執行個體,以及所有啟用自動更新的設備套用修補程式。值得留意的是,在2月10日BeyondTrust更新公告內容,指出他們掌握有部分採取自行部署型式的RS與PRA系統,出現嘗試利用漏洞的跡象,13日美國網路安全暨基礎設施安全局(CISA)將其列入已被利用的漏洞名單(KEV),並要求聯邦機構必須在3天內完成修補,足見這項漏洞極為危險。
Unit 42表示他們正在著手調查多家遭到漏洞利用攻擊的受害公司,並指出部分攻擊者得逞後,曾透過Python指令碼短暫(60秒)接管管理員帳號,接著刪除特定檔案以隱匿行蹤。基本上,上述指令碼會查詢特定資料庫,擷取管理員密碼雜湊資料,經過一分鐘的休眠,再將系統原本的密碼雜湊值還原,以免真正的管理員察覺異狀。
Unit 42也看到駭客在受害系統部署多個Web Shell的現象,其中一種是受到密碼保護,僅有單行程式碼的PHP後門程式,主要功能是讓攻擊者在無須在磁碟寫入檔案的狀態下,上傳檔案或擷取資料庫內容。另一個檔名為aws.php的Web Shell,攻擊者將其當作C2用戶端的自動閘道,並能藉此在BeyondTrust設備執行任何的PHP程式碼。
在Web Shell之外,也有駭客部署後門程式SparkRAT與VShell,而且,有人透過PowerShell指令碼下載及安裝名為哪吒(Nezha)的監控工具。另一方面,Unit 42發現有駭客透過4444埠,對Metasploit Meterpreter基礎設施發動攻擊。
值得留意的是,這些攻擊者濫用界外應用程式安全測試(OAST)技術,藉由Burp Suite Collaborator服務建立DNS隧道,藉此繞過受害組織的防火牆系統偵測,過程裡攻擊者將資料偽裝成看似合法的DNS流量,而在無須建立TCP或HTTP連線的情況下,將資料傳送到指定的OAST伺服器。
對於CVE-2026-1731形成的原因,Unit 42也公布更多細節,他們指出此漏洞出現在RS和PRA系統的thin-scc-wrapper元件,該元件負責處理流入的WebSocket連線。攻擊者通常會透過WebSocket連線利用漏洞,該漏洞會在WebSocket交握過程被觸發,此時攻擊者發送特製的remoteVersion數值並挾帶有效酬載,一旦thin-scc-wrapper處理上述資料就會觸發弱點,使得攻擊者能注入Shell指令。
熱門新聞
2026-02-23
2026-02-20
2026-02-23
2026-02-23
2026-02-23
2026-02-23
