Киберпреступники начали активно эксплуатировать критическую уязвимость CVE-2026-1731 в продуктах BeyondTrust Remote Support (RS) и Privileged Remote Access (PRA). На фоне этой активности Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) расширяет каталог Known Exploited Vulnerabilities (KEV), а эксперты фиксируют сложные целевые кампании, включая supply chain атаку через Notepad++.
Критическая уязвимость CVE-2026-1731 в BeyondTrust: от раскрытия до массового сканирования
По данным компании watchTowr, первые случаи эксплуатации CVE-2026-1731 «в дикой природе» были зафиксированы практически сразу после публикации информации об уязвимости. Злоумышленники злоупотребляют функционалом get_portal_info, чтобы извлечь значение заголовка x-ns-company, а затем устанавливают WebSocket-канал для дальнейшей атаки.
CVE-2026-1731 получила оценку CVSS 9.9 и позволяет неаутентифицированному удалённому атакующему выполнить произвольный код, отправив специально сформированные HTTP-запросы. BeyondTrust предупреждает, что успешная эксплуатация дает возможность выполнять команды операционной системы от имени учетной записи веб-сайта, что ведет к несанкционированному доступу, утечке данных и нарушению работы сервисов.
По информации GreyNoise и Defused Cyber, попытки эксплуатации начались менее чем через 24 часа после появления proof-of-concept (PoC)-эксплойта. Исследователи отмечают, что один IP-адрес отвечает примерно за 86% всех разведывательных сессий, при этом он принадлежит коммерческому VPN-сервису, размещённому у провайдера во Франкфурте. Это не новая группа, а уже существующая инфраструктура массового сканирования, оперативно добавившая проверки CVE-2026-1731 в свой инструментарий.
Затронутые продукты BeyondTrust и обновления безопасности
Уязвимость затрагивает BeyondTrust Remote Support и BeyondTrust Privileged Remote Access. Производитель выпустил обновления, устраняющие проблему, и отдельно подчёркивает, что актуальные версии продуктов не подвержены CVE-2026-1731. Организациям рекомендуется как можно скорее установить последние доступные релизы RS и PRA в соответствии с официальным бюллетенем безопасности BeyondTrust.
CISA 13 февраля 2026 года добавило CVE-2026-1731 в каталог Known Exploited Vulnerabilities (KEV) и обязало федеральные гражданские ведомства США (FCEB) применить исправление до 16 февраля 2026 года. Это подчёркивает, что уязвимость рассматривается регулятором как критическая и уже реально эксплуатируемая.
Расширение KEV: Microsoft, SolarWinds, Apple и новые векторы атак
Параллельно CISA внесло в KEV ещё несколько уязвимостей, по которым зафиксирована активная эксплуатация. Среди них — CVE-2024-43468 в продуктах Microsoft, исправленная в октябре 2024 года в рамках Patch Tuesday. Несмотря на наличие патча, пока не раскрыты детали того, как именно эта уязвимость используется в реальных атаках, кто стоит за кампанией и каков её масштаб.
Дополнительное внимание привлечено к атакам, связанным с SolarWinds Web Help Desk (WHD). Microsoft сообщила о многоэтапном вторжении, где интернет-доступные экземпляры WHD использовались для первичного проникновения с последующим перемещением по сети к более ценным активам. При этом остаётся неясным, задействованы ли в этих атаках CVE-2025-40551, CVE-2025-40536 или CVE-2025-26399, поскольку компрометации произошли в декабре 2025 года на серверах, уязвимых к нескольким наборам проблем.
В числе добавленных в KEV уязвимостей также фигурирует CVE-2025-40536, для которой CISA установило крайний срок устранения до 15 февраля 2026 года, а для оставшихся связанных уязвимостей — до 5 марта 2026 года, что демонстрирует приоритет их устранения для государственных структур.
Отдельно выделяется CVE-2026-20700 в iOS: Apple признала, что проблема могла использоваться в «исключительно сложных» атаках против узкого круга целей на версиях iOS до iOS 26. Исследователи не исключают, что эксплойт применялся для доставки коммерческого шпионского ПО. Уязвимость уже исправлена.
Supply chain атака на Notepad++ и роль группировки Lotus Blossom
Особое место среди описанных кампаний занимает эксплуатация CVE-2025-15556, которую компания Rapid7 связывает с китайской государственно поддерживаемой группировкой Lotus Blossom (известна также как Billbug, Bronze Elgin, Lotus Panda, Raspberry Typhoon, Spring Dragon, Thrip). Атакующие использовали ранее неизвестный бэкдор Chrysalis в рамках тщательно спланированной цепочки поставок.
Компрометация инфраструктуры обновлений Notepad++ продолжалась, по оценке экспертов, почти пять месяцев — с июня по октябрь 2025 года, а полностью была устранена 2 декабря 2025 года. Команда DomainTools Investigations описывает инцидент как «тихое, методичное внедрение», характерное для разведывательных операций с минимальным уровнем шума. Группа известна длительным присутствием в сетях жертв и многолетними кампаниями.
Ключевой особенностью атаки стало то, что исходный код Notepad++ не изменялся. Вместо этого злоумышленники троянизировали установщики, обходя проверки целостности кода и ревью. Из своего плацдарма в инфраструктуре обновлений они не рассылали вредоносный код всему сообществу пользователей Notepad++. Вместо этого трафик обновлений избирательно перенаправлялся только для узкого круга организаций и специалистов, представлявших наибольшую разведывательную ценность — в первую очередь разработчиков и администраторов.
Adversary-in-the-middle и скрытность доставки вредоносных обновлений
По данным Palo Alto Networks Unit 42, кампания была нацелена на долгосрочный сбор ценной информации. Атакующие использовали возможности adversary-in-the-middle (AitM), динамически «отпечаткивая» входящие запросы к обновлениям и отбирая приоритетные цели.
Вместо изменения процесса сборки Notepad++ злоумышленники перехватывали трафик доверенного утилитарного приложения. Это позволило им превратить стандартный механизм обновления в скрытый канал доставки, не вызывая подозрений у разработчика и большинства пользователей.
Как организации уже атакуют через CVE-2026-1731 и что делать сейчас
Исследователи Arctic Wolf фиксируют реальные атаки на инфраструктуру, использующую BeyondTrust Remote Support и Privileged Remote Access, через уязвимость CVE-2026-1731. Злоумышленники пытаются развернуть инструмент удалённого мониторинга и управления SimpleHelp RMM для закрепления в сети и последующего латерального перемещения.
По данным Arctic Wolf, для инвентаризации инфраструктуры злоумышленники используют AdsiSearcher для опроса Active Directory, а для массового развёртывания SimpleHelp на нескольких узлах — PSExec. На ранних этапах наблюдаются запросы Impacket SMBv2 session setup, что указывает на попытки двустороннего перемещения по сети и разведки.
С учётом активной эксплуатации уязвимостей и включения их в KEV, организациям рекомендуется: незамедлительно обновить BeyondTrust RS и PRA до актуальных версий, обновить Notepad++ как минимум до версии 8.9.1 (по рекомендации LevelBlue SpiderLabs), при установке при необходимости отключить автообновление WinGUp и убедиться, что утилита обращается только к легитимным серверам обновления.
Дополнительно имеет смысл настроить мониторинг на признаки компрометации: нестандартные WebSocket-сессии в порталах BeyondTrust, внезапное появление в инфраструктуре новых RMM-инструментов (таких как SimpleHelp), массовое использование PSExec, а также подозрительную SMB-активность и необычные запросы к Active Directory. Приоритизация патчей по списку CISA KEV, жёсткая сегментация сети и принцип минимальных привилегий существенно сокращают окно атаки и снижают риск успешной эксплуатации подобных уязвимостей.
