Компания BeyondTrust выпустила обновления для продуктов Remote Support (RS) и Privileged Remote Access (PRA), устраняющие четыре уязвимости, две из которых получили критическую оценку CVSS 9.2. Наиболее серьёзные дефекты позволяют неаутентифицированному атакующему обойти механизмы контроля доступа и получить несанкционированный доступ к устройству, включая учётные записи с повышенными привилегиями. Затронуты версии RS 25.3.2 и ниже, а также PRA 25.3.2 и ниже — исправления доступны начиная с версии 25.3.3 для обоих продуктов. Организациям, использующим эти решения, необходимо незамедлительно обновиться.
Технический анализ уязвимостей
Все четыре уязвимости затрагивают подсистемы аутентификации и сетевого взаимодействия продуктов BeyondTrust. Три из них являются предаутентификационными — для их эксплуатации не требуется предварительная авторизация.
Критические уязвимости обхода аутентификации
- CVE-2026-40138 (CVSS 9.2) — предаутентификационная уязвимость в подсистеме аутентификации Remote Support и Privileged Remote Access. Вызвана некорректной валидацией данных аутентификации. Позволяет атакующему, имеющему сетевой доступ к устройству, обойти контроль доступа и получить несанкционированный доступ, включая привилегированные учётные записи.
- CVE-2026-40139 (CVSS 9.2) — предаутентификационная уязвимость в подсистеме аутентификации Remote Support. Связана с некорректной обработкой запросов аутентификации. Позволяет удалённому неаутентифицированному атакующему обойти контроль доступа и получить доступ к устройству с повышенными привилегиями.
Принципиальная оговорка: успешная эксплуатация обеих критических уязвимостей возможна только при определённой конфигурации аутентификации. Это существенно сужает поверхность атаки, хотя не снимает необходимости обновления — организации не всегда контролируют, какие конфигурации активны в их среде.
Уязвимости средней критичности
- CVE-2026-40140 (CVSS 8.7) — предаутентификационная уязвимость в подсистеме сетевого взаимодействия. Недостаточная валидация входных данных от клиента позволяет неаутентифицированному удалённому атакующему вызвать отказ в обслуживании, нарушив доступность устройства.
- CVE-2026-40141 (CVSS 8.5) — уязвимость в компоненте веб-приложения Remote Support и Privileged Remote Access. Недостаточная валидация пользовательского ввода позволяет аутентифицированному атакующему с ограниченными привилегиями получить доступ к ресурсам и данным за пределами своей области авторизации. Эксплуатация ограничена учётными записями с определёнными разрешениями.
Примечательный аспект: роль ИИ в обнаружении
BeyondTrust указала, что все четыре уязвимости были обнаружены внутренними силами в рамках текущих оценок безопасности, при этом компания использовала публично доступные модели искусственного интеллекта, в частности Anthropic Claude Opus 4.8, а также собственные исследовательские инструменты. Это один из заметных примеров, когда вендор открыто указывает на применение генеративного ИИ в процессе аудита безопасности собственных продуктов. Подход заслуживает внимания: проактивное обнаружение уязвимостей до их эксплуатации — значительно более выгодная стратегия, чем реагирование на инциденты постфактум.
Оценка воздействия
Продукты BeyondTrust Remote Support и Privileged Remote Access широко используются в корпоративном секторе для удалённой технической поддержки и управления привилегированным доступом. Компрометация таких систем может предоставить атакующему прямой доступ к критической инфраструктуре организации, поскольку эти решения по своей природе обладают широкими полномочиями в целевых средах.
Согласно официальному бюллетеню BeyondTrust, на момент публикации нет подтверждённых данных об активной эксплуатации новых уязвимостей. Ни одна из четырёх CVE не внесена в каталог CISA KEV. Тем не менее продукты RS и PRA ранее становились целью атак — это делает оперативное обновление приоритетным.
Рекомендации
- Обновите Remote Support и Privileged Remote Access до версии 25.3.3 или выше.
- Проверьте конфигурацию аутентификации — определите, активны ли параметры, при которых возможна эксплуатация CVE-2026-40138 и CVE-2026-40139. Если обновление невозможно немедленно, рассмотрите временное изменение конфигурации.
- Проведите аудит учётных записей с разрешениями, потенциально подверженными CVE-2026-40141, и ограничьте привилегии до минимально необходимых.
- Проверьте журналы устройств RS и PRA на предмет аномальных попыток аутентификации и несанкционированного доступа к ресурсам.
- Ограничьте сетевой доступ к интерфейсам управления устройствами BeyondTrust, если они доступны из недоверенных сетей.
Учитывая критичность оценок CVSS 9.2 для двух уязвимостей и стратегическую ценность продуктов удалённого доступа как вектора атаки, обновление до версии 25.3.3 следует выполнить в кратчайшие сроки — даже при отсутствии подтверждённой эксплуатации. Зависимость от конкретной конфигурации снижает, но не устраняет риск: после публикации CVE окно для безопасного обновления сужается с каждым днём.