Kritische Sicherheitslücke in BeyondTrust-Produkten wird aktiv ausgenutzt

Schwachstelle ermöglicht Code-Ausführung ohne Authentifizierung

BeyondTrust hat eine schwerwiegende Sicherheitslücke in seinen Fernwartungslösungen Remote Support (RS) und Privileged Remote Access (PRA) geschlossen. Die unter CVE-2026-1731 geführte Schwachstelle ermöglicht Angreifern die Ausführung von Systembefehlen ohne vorherige Anmeldung. Durch manipulierte Anfragen können unbefugte Dritte Befehle im Kontext des Webserver-Benutzers ausführen, was zu Systemkompromittierungen, Datenabfluss und Dienstausfällen führen kann.

Zeitlicher Ablauf der Ereignisse

Das Sicherheitsteam von BeyondTrust entdeckte am 31. Januar 2026 ungewöhnliche Aktivitäten auf einem Remote Support-System. Ein externer Sicherheitsexperte bestätigte die Erkenntnisse und meldete die Schwachstelle offiziell. Bereits am 2. Februar stellte das Unternehmen Patches bereit und verteilte diese automatisch auf allen SaaS-Instanzen sowie Systemen mit aktiviertem Update-Dienst.

Am 3. Februar informierte BeyondTrust Kunden über das Support-Portal, gefolgt von E-Mail-Benachrichtigungen am 4. Februar an selbst gehostete Installationen ohne installiertes Update. Die offizielle Veröffentlichung des Sicherheitshinweises BT26-02 sowie der CVE-Kennung erfolgte am 6. Februar. Erste aktive Ausnutzungsversuche registrierte das Unternehmen ab dem 10. Februar 2026.

Aktive Angriffe auf ungepatchte Systeme

BeyondTrust bestätigt eine begrenzte Anzahl von Angriffsversuchen auf selbst verwaltete Kundenumgebungen. Betroffen sind ausschließlich internetverbundene Installationen, auf denen bis zum 9. Februar kein Sicherheitsupdate eingespielt wurde. Das Unternehmen unterstützt betroffene Kunden aktiv bei der Incident Response und Systemuntersuchung.

Kunden mit selbst gehosteten Instanzen, die am 9. Februar noch keinen Patch erhalten hatten, werden aufgefordert, umgehend die bereitgestellten Updates zu installieren und ein Support-Ticket mit höchster Priorität unter Angabe der Referenz „BT26-02“ zu eröffnen.

Verfügbare Sicherheitsupdates

Für SaaS-Kunden von Remote Support und Privileged Remote Access wurde der Patch automatisch am 2. Februar ausgerollt. Betreiber selbst gehosteter Systeme müssen die Aktualisierung manuell durchführen, sofern keine automatische Update-Funktion aktiviert ist.

Remote Support: Patch BT26-02-RS für Versionen 21.3 bis 25.3.1 oder Upgrade auf Version 25.3.2

Privileged Remote Access: Patch BT26-02-PRA für Versionen 22.1 bis 24.3.4 oder Upgrade auf Version 25.1.1

Installationen mit älteren Versionen (Remote Support unter 21.3, Privileged Remote Access unter 22.1) erfordern zunächst ein Versions-Upgrade, bevor der Patch angewendet werden kann.

Technische Bewertung

Die Schwachstelle erhielt einen CVSS v4-Score von 9,9 und wird der Kategorie CWE-78 (OS Command Injection) zugeordnet. Der CVSS-Vektor (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:H/SA:L) zeigt die hohe Kritikalität: Die Schwachstelle ist über das Netzwerk ausnutzbar, erfordert keine Benutzerinteraktion und keine Authentifizierung.

BeyondTrust untersucht die Vorfälle weiterhin und stellt zusätzliche Informationen bereit, sobald diese verifiziert sind. Das Unternehmen betont, dass der Schutz der Kundensysteme höchste Priorität besitzt.

Entdecke mehr

---