Scopri anche

• Vulnerabilità zero-day in Google Chrome: analisi delle falle critiche e aggiornamenti di sicurezza
• Sicurezza Android: aggiornamenti, anti-furto e nuove protezioni
• Gemini 3 Deep Think e Agentic Vision: le nuove capacità di ragionamento di Google
• Intelligenza artificiale e cybersecurity: il doppio fronte tra attacchi e difese
• Patch Tuesday febbraio 2026: sei zero-day già sfruttate, Google corregge falla critica in Chrome
• Vulnerabilità critica nel Blocco Note e problemi di riavvio: Windows 11 tra patch urgenti e bug sistemici
• F-35 e il dilemma del "jailbreak": le dichiarazioni olandesi riaccendono il dibattito sulla sovranità software
• L'automazione aziendale tra intelligenza artificiale e processi operativi
• Vulnerabilità informatiche: assessment e penetration test a confronto per una difesa efficace
• Vulnerabilità zero-day in WebKit: Apple rilascia patch urgente per attacchi mirati
• Windows 11: vulnerabilità critica nel Blocco Note e aggiornamento problematico KB5077181
• F-35 e jailbreak: la dichiarazione del ministro olandese riapre il dibattito sulla sovranità software
• AMD nomina Ariel Kelman come nuovo Chief Marketing Officer per rafforzare la strategia AI
• Vulnerabilità critica VMware vCenter sfruttata attivamente: patch urgente
• Nintendo Switch 2: rilasciato l'aggiornamento di sistema 21.2.0
• Microsoft Patch Tuesday febbraio 2026: 59 vulnerabilità corrette, sei zero-day già sfruttati
• Borderlands 4 e Steam Deck: l'analisi tecnica sul badge Verified
• Nuova vulnerabilità zero-day in MOVEit Transfer: a rischio dati sensibili di aziende
• L'ecosistema hardware per l'intelligenza artificiale: dai chip personalizzati alla gestione del ciclo di vita del silicio
• Agentic AI e assistenti virtuali: autonomia, rischi e il problema dell'affidabilità nell'informazione

CVE-2026-1731: CISA conferma sfruttamento attivo della vulnerabilità critica BeyondTrust

Vulnerabilità critica BeyondTrust sfruttata in attacchi ransomware

Il 6 febbraio 2026 BeyondTrust ha pubblicato un advisory di sicurezza relativo alla vulnerabilità CVE-2026-1731, un problema di esecuzione codice remoto pre-autenticazione che colpisce i prodotti Remote Support e Privileged Remote Access. La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto la vulnerabilità al Known Exploited Vulnerabilities (KEV) Catalog il 13 febbraio 2026, imponendo alle agenzie federali statunitensi di applicare la patch entro tre giorni o cessare l'utilizzo del prodotto.

Dettagli tecnici della vulnerabilità

⬆ Torna su

CVE-2026-1731 ha ricevuto un punteggio CVSS di 9.9, classificato come critico. La vulnerabilità risiede nel componente thin-scc-wrapper delle versioni non patchate del software BeyondTrust Remote Support. Questo componente è esposto alla rete e gestisce le connessioni WebSocket in entrata attraverso l'endpoint /nw.

Il problema consiste in una falla di sanitizzazione dell'input che permette a utenti remoti non autenticati di iniettare comandi arbitrari del sistema operativo. Il meccanismo specifico coinvolge l'arithmetic evaluation di Bash: lo script thin-scc-wrapper analizza e valuta il valore remoteVersion fornito dal client durante il processo di handshake WebSocket. Se l'input non viene sanitizzato correttamente, Bash esegue command substitution come $(comando) prima di effettuare il confronto numerico previsto.

L'exploit non richiede autenticazione preventiva né interazione dell'utente. I comandi iniettati vengono eseguiti nel contesto dell'utente "site user" dell'appliance, che pur distinto dall'utente root, concede il controllo sulla configurazione dell'appliance, sulle sessioni gestite e sul traffico di rete.

Versioni interessate e rimedi

⬆ Torna su

Le versioni colpite includono Remote Support 25.3.1 e precedenti, e Privileged Remote Access 24.3.4 e precedenti. BeyondTrust ha applicato automaticamente la patch ai clienti SaaS a partire dal 2 febbraio 2026. I clienti con istanze self-hosted devono aggiornare manualmente tramite l'interfaccia /appliance o installare le versioni corrette: Remote Support 25.3.2 o superiore, Privileged Remote Access 25.1.1 o superiore.

I clienti con versioni precedenti a RS 21.3 o PRA 22.1 devono prima eseguire un upgrade a una versione più recente prima di poter applicare la patch. L'advisory BT26-02 di BeyondTrust del febbraio 2026 fornisce le istruzioni specifiche per la rimediazione.

Sfruttamento attivo confermato

⬆ Torna su

Unit 42 di Palo Alto Networks ha confermato sfruttamento attivo della vulnerabilità. I ricercatori hanno osservato attività di attacco coerenti con ricognizione di rete, deployment di web shell, installazione di strumenti di comando e controllo, backdoor, movimento laterale e furto di dati. La campagna ha colpito i settori servizi finanziari, servizi legali, alta tecnologia, istruzione superiore, commercio all'ingrosso e al dettaglio, e sanità negli Stati Uniti, Francia, Germania, Australia e Canada.

Oltre 11.000 istanze esposte online sono state identificate, di cui circa 8.500 deployment on-premises. Palo Alto Networks Cortex Xpanse ha identificato più di 16.400 istanze vulnerabili esposte. CISA ha attivato l'indicatore "Known To Be Used in Ransomware Campaigns" nel KEV catalog, confermando che la vulnerabilità viene sfruttata in campagne ransomware.

Timeline dello sfruttamento

⬆ Torna su

BeyondTrust ha dichiarato che la prima attività di sfruttamento è stata rilevata il 10 febbraio 2026, lo stesso giorno in cui sono apparsi i primi proof-of-concept pubblici. Il 30 gennaio watchTowr aveva pubblicato un'analisi tecnica di CVE-2026-1281, una vulnerabilità simile in Ivanti EPMM. Il 31 gennaio i ricercatori Harsh Jaiswal e il team Hacktron AI hanno utilizzato analisi variant abilitata da AI per identificare CVE-2026-1731 nei prodotti BeyondTrust.

GreyNoise ha rilevato un aumento della scansione entro 24 ore dalla disponibilità del PoC. Un singolo indirizzo IP da una VPN commerciale a Francoforte era responsabile dell'86% del traffico di probe osservato, con targeting simultaneo di SonicWall, MOVEit, Log4j e altre superfici d'attacco. watchTowr ha confermato lo sfruttamento in-the-wild il 12 febbraio attraverso la propria rete di sensori globale.

Tecniche post-exploitation osservate

⬆ Torna su

Unit 42 ha documentato l'uso di uno script Python personalizzato per il takeover temporaneo di account. Lo script interroga il database target per salvare l'hash della password esistente per l'amministratore primario (User ID 1), genera un hash valido per la password "password", inietta l'hash nel database, attende 60 secondi e ripristina l'hash originale, auto-distruggendosi per minimizzare gli artefatti forensi.

Sono state identificate multiple web shell installate in diverse directory, tra cui una PHP backdoor protetta da password di una sola riga che utilizza la funzione eval() per eseguire codice PHP inviato tramite il parametro POST['1']. Un'altra web shell decodifica in Base64 un parametro e lo esegue tramite eval(), con delimitatori DQo= caratteristici di strumenti C2 come China Chopper e AntSword.

Gli attaccanti hanno impiegato un bash dropper che utilizza una tecnica definita "config STOMPing": scrive una backdoor PHP nella directory web root, inietta temporaneamente una direttiva Location malevola nella configurazione Apache, riavvia il servizio Apache, e sovrascrive il file di configurazione su disco con un backup pulito. Questo lascia la backdoor funzionante in memoria mentre il file di configurazione su disco appare non modificato.

Sono stati osservati SparkRAT, un RAT open-source multi-piattaforma scritto in Go, e VShell, una backdoor Linux caratterizzata da tecniche di evasione包括 l'esecuzione fileless in memoria e la capacità di camuffarsi come servizio di sistema legittimo. Gli attaccanti hanno utilizzato tecniche out-of-band (OAST) contro il servizio Burp Suite Collaborator per validare l'esecuzione del codice e fingerprinting dei sistemi compromessi attraverso query DNS.

Relazione con CVE-2024-12356

⬆ Torna su

La vulnerabilità presenta analogie con CVE-2024-12356, che colpiva lo stesso endpoint WebSocket /nw attraverso un percorso di codice diverso. CVE-2024-12356 era stata sfruttata dall'attore di minaccia Silk Typhoon (noto anche come APT27, UNC5221, Emissary Panda) in campagne ad alto profilo, incluso un breach del Dipartimento del Tesoro statunitense nel 2024. In quel caso, gli attaccanti sfruttarono API key rubate per compromettere 17 istanze del prodotto Remote Support SaaS.

La ricorrenza di vulnerabilità nella validazione dell'input in percorsi di esecuzione distinti evidenzia una sfida localizzata nel codice BeyondTrust. CVE-2024-12356 coinvolgeva validazione insufficiente tramite software di terze parti (postgres), mentre CVE-2026-1731 riguarda la validazione nel codice base di Remote Support e versioni precedenti di Privileged Remote Access.

Raccomandazioni per la risposta

⬆ Torna su

CISA ha stabilito una scadenza di rimediazione entro il 16 febbraio 2026 per le agenzie FCEB (Federal Civilian Executive Branch). L'agenzia raccomanda che tutte le organizzazioni diano priorità alla rimediazione tempestiva delle vulnerabilità nel KEV Catalog come parte della pratica di gestione delle vulnerabilità.

Oltre all'applicazione della patch, Unit 42 raccomanda un'architettura defense-in-depth per le piattaforme di accesso remoto ad alto valore. Le interfacce amministrative dovrebbero essere limitate a reti di gestione interne segmentate o gateway di accesso zero trust. Le organizzazioni che avevano istanze BeyondTrust esposte su internet e non patchate prima di BT26-02 dovrebbero presumere una potenziale compromissione e condurre indagini.

Gli indicatori di compromissione da ricercare includono: artefatti delle web shell PHP, script Python sospetti, connessioni reverse shell verso porte non standard, query DNS verso domini OAST, processi SparkRAT o VShell, modifiche non autorizzate agli account amministratore, dump di database PostgreSQL, e traffico verso servizi di file transfer legittimi utilizzati per recupero payload.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La conferma di sfruttamento attivo in campagne ransomware, unita all'esposizione di migliaia di istanze on-premises, suggerisce un rischio elevato di escalation nelle settimane successive alla pubblicazione del PoC. La ricorrenza di vulnerabilità nell'endpoint WebSocket /nw potrebbe attirare ulteriori analisi da parte di ricercatori e attaccanti.

• Scenario 1: Attori strutturati potrebbero sfruttare il già ampio numero di istanze compromesse per campagne ransomware su larga scala, estendendo il impatto a settori già colpiti come finanza e sanità.
• Scenario 2: Le organizzazioni con istanze non patchate potrebbero subire persistenza a lungo termine tramite backdoor fileless come VShell, rendendo necessarie indagini forensi approfondite.
• Scenario 3: L'analogia con CVE-2024-12356 potrebbe incentivare la ricerca di varianti aggiuntive nello stesso componente, prolungando l'esposizione del prodotto.

Cosa monitorare

⬆ Torna su

• Segnalazioni di nuove campagne ransomware che citano BeyondTrust come vettore iniziale.
• Aggiornamenti da parte di BeyondTrust su eventuali vulnerabilità correlate nello stesso componente.
• Indicatori di compromissione associati a SparkRAT e VShell in ambienti con superficie d'attacco esposta.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://unit42.paloaltonetworks.com/beyondtrust-cve-2026-1731/
• https://www.bleepingcomputer.com/news/security/cisa-beyondtrust-rce-flaw-now-exploited-in-ransomware-attacks/
• https://thehackernews.com/2026/02/beyondtrust-flaw-used-for-web-shells.html
• https://www.paubox.com/blog/cisa-flags-active-exploitation-of-beyondtrust-cve-2026-1731
• https://threatlabsnews.xcitium.com/blog/cisa-issues-urgent-patch-mandate-for-critical-beyondtrust-rce-flaw/
• https://orca.security/resources/blog/cve-2026-1731-beyondtrust-vulnerability/
• https://vulert.com/blog/beyondtrust-cve-2026-1731-vulnerability/