Mastodon Mastodon Mastodon Mastodon

Kritische BeyondTrust-Schwachstellen in Remote Support und PRA

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

BeyondTrust hat Updates für die Produkte Remote Support (RS) und Privileged Remote Access (PRA) veröffentlicht, die vier Sicherheitslücken schließen, von denen zwei die kritische Bewertung CVSS 9.2 erhalten haben. Die gravierendsten Schwachstellen ermöglichen es einem nicht authentifizierten Angreifer, Zugriffskontrollen zu umgehen und sich unbefugten Zugriff auf das Gerät zu verschaffen, einschließlich Konten mit erhöhten Privilegien. Betroffen sind RS in Version 25.3.2 und älter sowie PRA in Version 25.3.2 und älter — Korrekturen stehen ab Version 25.3.3 für beide Produkte zur Verfügung. Organisationen, die diese Lösungen einsetzen, sollten umgehend aktualisieren.

Technische Analyse der Schwachstellen

Alle vier Schwachstellen betreffen die Authentifizierungs- und Netzwerkkommunikations-Subsysteme der BeyondTrust-Produkte. Drei davon sind vor der Authentifizierung ausnutzbar — für ihre Ausnutzung ist keine vorherige Autorisierung erforderlich.

Kritische Schwachstellen zur Umgehung der Authentifizierung

  • CVE-2026-40138 (CVSS 9.2) — vor der Authentifizierung ausnutzbare Schwachstelle im Authentifizierungs-Subsystem von Remote Support und Privileged Remote Access. Verursacht durch eine fehlerhafte Validierung von Authentifizierungsdaten. Ermöglicht es einem Angreifer mit Netzwerkzugang zum Gerät, die Zugriffskontrolle zu umgehen und sich unbefugten Zugriff zu verschaffen, einschließlich privilegierter Konten.
  • CVE-2026-40139 (CVSS 9.2) — vor der Authentifizierung ausnutzbare Schwachstelle im Authentifizierungs-Subsystem von Remote Support. Hängt mit einer fehlerhaften Verarbeitung von Authentifizierungsanfragen zusammen. Ermöglicht es einem entfernten, nicht authentifizierten Angreifer, die Zugriffskontrolle zu umgehen und mit erhöhten Privilegien auf das Gerät zuzugreifen.

Wichtiger Vorbehalt: Eine erfolgreiche Ausnutzung beider kritischer Schwachstellen ist nur bei einer bestimmten Authentifizierungskonfiguration möglich. Das reduziert die Angriffsfläche deutlich, hebt jedoch die Notwendigkeit eines Updates nicht auf — Organisationen haben nicht immer im Blick, welche Konfigurationen in ihrer Umgebung aktiv sind.

Schwachstellen mit mittlerer Kritikalität

  • CVE-2026-40140 (CVSS 8.7) — vor der Authentifizierung ausnutzbare Schwachstelle im Subsystem für Netzwerkkommunikation. Eine unzureichende Validierung von Eingabedaten seitens des Clients ermöglicht es einem nicht authentifizierten entfernten Angreifer, einen Denial of Service auszulösen und damit die Verfügbarkeit des Geräts zu beeinträchtigen.
  • CVE-2026-40141 (CVSS 8.5) — Schwachstelle in der Webanwendungskomponente von Remote Support und Privileged Remote Access. Eine unzureichende Validierung der Benutzereingaben ermöglicht es einem authentifizierten Angreifer mit eingeschränkten Rechten, auf Ressourcen und Daten außerhalb seines Autorisierungsbereichs zuzugreifen. Die Ausnutzung ist auf Konten mit bestimmten Berechtigungen beschränkt.

Bemerkenswerter Aspekt: Rolle von KI bei der Entdeckung

BeyondTrust gab an, dass alle vier Schwachstellen im Rahmen laufender Sicherheitsbewertungen intern entdeckt wurden, wobei das Unternehmen öffentlich verfügbare Modelle für künstliche Intelligenz, insbesondere Anthropic Claude Opus 4.8, sowie eigene Forschungstools eingesetzt hat. Dies ist eines der auffälligen Beispiele dafür, dass ein Hersteller offen auf den Einsatz generativer KI im Prozess der Sicherheitsüberprüfung seiner eigenen Produkte hinweist. Der Ansatz ist bemerkenswert: Proaktives Auffinden von Schwachstellen vor deren Ausnutzung ist eine deutlich vorteilhaftere Strategie als die Reaktion auf Vorfälle im Nachhinein.

Einschätzung der Auswirkungen

Die Produkte BeyondTrust Remote Support und Privileged Remote Access werden im Unternehmensumfeld breit für Remote-Support und die Verwaltung privilegierter Zugriffe eingesetzt. Die Kompromittierung solcher Systeme kann einem Angreifer direkten Zugang zur kritischen Infrastruktur einer Organisation verschaffen, da diese Lösungen ihrer Natur nach in den Zielumgebungen weitreichende Befugnisse besitzen.

Laut dem offiziellen BeyondTrust-Sicherheitsbulletin gibt es zum Zeitpunkt der Veröffentlichung keine bestätigten Hinweise auf eine aktive Ausnutzung der neuen Schwachstellen. Keine der vier CVEs ist im CISA-KEV-Katalog aufgeführt. Dennoch waren die Produkte RS und PRA in der Vergangenheit bereits Ziel von Angriffen — dies macht eine zeitnahe Aktualisierung besonders wichtig.

Empfehlungen

  1. Aktualisieren Sie Remote Support und Privileged Remote Access auf Version 25.3.3 oder höher.
  2. Überprüfen Sie die Authentifizierungskonfiguration — ermitteln Sie, ob Einstellungen aktiv sind, unter denen eine Ausnutzung von CVE-2026-40138 und CVE-2026-40139 möglich ist. Falls ein Update nicht sofort möglich ist, ziehen Sie temporäre Änderungen der Konfiguration in Betracht.
  3. Führen Sie einen Audit der Konten mit Berechtigungen durch, die potenziell von CVE-2026-40141 betroffen sind, und beschränken Sie Privilegien auf das notwendige Minimum.
  4. Überprüfen Sie die Protokolle der RS- und PRA-Geräte auf auffällige Authentifizierungsversuche und unbefugte Zugriffe auf Ressourcen.
  5. Beschränken Sie den Netzwerkzugang zu den Management-Schnittstellen der BeyondTrust-Geräte, sofern diese aus nicht vertrauenswürdigen Netzen erreichbar sind.

Angesichts der kritischen CVSS-9.2-Bewertungen für zwei der Schwachstellen und der strategischen Bedeutung von Remote-Access-Produkten als Angriffsvektor sollte das Update auf Version 25.3.3 schnellstmöglich eingespielt werden — auch ohne bestätigte Ausnutzung. Die Abhängigkeit von einer bestimmten Konfiguration reduziert, aber beseitigt das Risiko nicht: Nach der Veröffentlichung der CVEs wird das Zeitfenster für ein sicheres Update von Tag zu Tag kleiner.


CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.