Кіберзлочинці майже миттєво почали використовувати критичну уразливість CVE-2026-1731 у продуктах BeyondTrust Remote Support (RS) та Privileged Remote Access (PRA). На цьому тлі Агентство з кібербезпеки та безпеки інфраструктури США (CISA) суттєво розширило каталог Known Exploited Vulnerabilities (KEV), а дослідники фіксують складні цільові кампанії, включно із supply chain‑атакою через Notepad++.
Критична CVE-2026-1731 в BeyondTrust RS і PRA: як працює експлойт
Уразливість CVE-2026-1731 отримала оцінку CVSS 9.9 і дозволяє неавтентифікованому віддаленому зловмиснику виконувати довільний код шляхом надсилання спеціально сформованих HTTP‑запитів до порталу BeyondTrust. За даними виробника, успішна експлуатація дає можливість запускати команди операційної системи від імені облікового запису веб‑сайту, що створює ризик несанкціонованого доступу, витоку даних і порушення роботи сервісів.
WebSocket‑канал і get_portal_info: техніка атаки
Компанія watchTowr повідомляє, що експлуатація «в дикій природі» почалася практично одразу після публікації технічних деталей. Атакувальники зловживають функцією get_portal_info, витягують значення заголовка x-ns-company, після чого встановлюють WebSocket‑канал для подальшого розвитку атаки та виконання коду.
За спостереженнями GreyNoise і Defused Cyber, перші масові спроби експлуатації стартували менш ніж через 24 години після появи proof‑of‑concept (PoC)‑експлойта. Близько 86% усіх сесій розвідкового сканування походять з одного IP‑адреса, пов’язаного з комерційним VPN у Франкфурті. Йдеться не про нову групу, а про вже існуючу інфраструктуру масового сканування, до якої оперативно додали перевірку CVE-2026-1731.
Уразливість стосується продуктів BeyondTrust Remote Support і BeyondTrust Privileged Remote Access. Виробник уже випустив оновлення, і актуальні версії не вразливі до CVE-2026-1731. CISA додала цю уразливість до KEV 13 лютого 2026 року і зобов’язала федеральні цивільні відомства США встановити патч до 16 лютого 2026 року, фактично визнавши її однією з пріоритетних загроз.
Розширення CISA KEV: Microsoft, SolarWinds і iOS
Паралельно CISA включила до Known Exploited Vulnerabilities низку інших уразливостей, за якими вже зафіксована активна експлуатація. Серед них — CVE-2024-43468 у продуктах Microsoft, виправлена ще в жовтні 2024 року в межах Patch Tuesday. Хоча патч давно доступний, деталі реальних атак, задіяні групи та масштаби кампаній поки що публічно не розкриваються.
Окрему увагу привертають інциденти довкола SolarWinds Web Help Desk (WHD). За інформацією Microsoft, зловмисники використовували екземпляри WHD з доступом з Інтернету як початкову точку проникнення, після чого розширювали присутність у мережі до більш цінних активів. Компрометації виявлені в грудні 2025 року на серверах, уразливих одночасно до CVE-2025-40551, CVE-2025-40536 і CVE-2025-26399, тому точний вектор поки не встановлено. CISA встановила крайній термін усунення CVE-2025-40536 до 15 лютого 2026 року, а пов’язаних уразливостей — до 5 березня 2026 року, що демонструє їх високий пріоритет для держсектору.
Ще один показовий приклад — CVE-2026-20700 в iOS. Apple офіційно визнала, що уразливість могла використовуватися в «надзвичайно складних» атаках проти обмеженого кола цілей на версіях iOS до iOS 26. Дослідники припускають, що експлойт був задіяний для доставки комерційного шпигунського ПЗ. Проблему вже виправлено в актуальних оновленнях.
Supply chain‑атака на Notepad++: Lotus Blossom і бекдор Chrysalis
Особливе місце серед описаних кампаній посідає експлуатація CVE-2025-15556 у ланцюгу постачання Notepad++. Компанія Rapid7 пов’язує її з китайською державно підтримуваною групою Lotus Blossom (також відомою як Billbug, Bronze Elgin, Lotus Panda, Raspberry Typhoon, Spring Dragon, Thrip). Атакувальники застосували раніше невідомий бекдор Chrysalis у ретельно підготовленій supply chain‑операції.
За оцінками експертів, компрометація інфраструктури оновлень Notepad++ тривала близько п’яти місяців — з червня по жовтень 2025 року, а повністю була ліквідована лише 2 грудня 2025 року. Команда DomainTools Investigations охарактеризувала інцидент як «тихе, методичне впровадження», типове для розвідувальних кампаній з мінімальним «шумом» у мережі та тривалим перебуванням зловмисників у середовищі жертви.
Adversary-in-the-middle та вибіркова доставка шкідливих оновлень
Ключова особливість атаки — вихідний код Notepad++ не змінювався. Замість цього були троянізовані інсталяційні пакети, що дозволило обійти перевірки цілісності репозиторію коду та стандартні рев’ю. Зі свого плацдарму в інфраструктурі оновлень зловмисники не розсилали шкідливий код усій базі користувачів.
За даними Palo Alto Networks Unit 42, кампанія була націлена на довгостроковий збір цінної інформації. Атакувальники діяли за моделлю adversary‑in‑the‑middle (AitM): перехоплювали трафік утиліти оновлень, динамічно «відбитковуючи» запити та вибірково перенаправляючи шкідливі інсталятори лише для вузького кола організацій і фахівців з високою розвідувальною цінністю — насамперед розробників і адміністраторів.
Як експлуатують CVE-2026-1731 зараз і які дії потрібні організаціям
Дослідники Arctic Wolf фіксують реальні атаки на інфраструктуру, де використовується BeyondTrust Remote Support та Privileged Remote Access, з використанням CVE-2026-1731. Мета зловмисників — розгорнути інструмент віддаленого моніторингу та керування SimpleHelp RMM для закріплення в мережі та подальшого латерального переміщення.
Для інвентаризації середовища супротивник застосовує AdsiSearcher для опитування Active Directory, а для масового розгортання SimpleHelp на декількох вузлах — PSExec. На ранніх етапах фіксуються запити Impacket SMBv2 session setup, що вказує на спроби двостороннього переміщення мережею і детальної розвідки.
З огляду на активну експлуатацію уразливостей з каталогу CISA KEV, організаціям варто вважати їх мінімальним базовим набором для термінового патчування. Рекомендовано невідкладно оновити BeyondTrust RS і PRA до поточних версій, а також оновити Notepad++ щонайменше до версії 8.9.1 (за рекомендацією LevelBlue SpiderLabs). За потреби доцільно вимкнути автооновлення WinGUp і перевірити, що утиліта звертається виключно до легітимних серверів оновлення.
Додатково варто налаштувати моніторинг на ознаки компрометації: нестандартні WebSocket‑сесії на порталах BeyondTrust, раптову появу нових RMM‑інструментів (на кшталт SimpleHelp), масове використання PSExec, підозрілу SMB‑активність і нетипові запити до Active Directory. Жорстка сегментація мережі, застосування принципу мінімально необхідних привілеїв і системне управління вразливостями істотно звужують вікно атаки та зменшують шанси успішної експлуатації як CVE-2026-1731, так і інших критичних уразливостей.
