หน่วยงานความมั่นคงทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้แจ้งเตือนการพบกลุ่ม Hacker ได้ใช้ช่องโหว่ CVE-2026-1731 ที่ส่งผลกระทบต่อผลิตภัณฑ์ BeyondTrust Remote Support ในปฏิบัติการการโจมตีด้วย Ransomware อย่างต่อเนื่อง

CVE-2026-1731 (คะแนน CVSS 9.9/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Remote Code Execution ที่ส่งผลกระทบต่อ BeyondTrust Remote Support เวอร์ชัน 25.3.1 หรือก่อนหน้า และ Privileged Remote Access เวอร์ชัน 24.3.4 หรือก่อนหน้า

CISA ได้เพิ่มช่องโหว่นี้ลงในรายการ Known Exploited Vulnerabilities (KEV) หรือช่องโหว่ที่กำลังถูกใช้ในการโจมตี เมื่อวันที่ 13 กุมภาพันธ์ 2026 และให้เวลาหน่วยงานของรัฐบาลกลางเพียงสามวันในการติดตั้งแพตช์ หรือหยุดใช้ผลิตภัณฑ์

BeyondTrust ได้เปิดเผยช่องโหว่ CVE-2026-1731 ครั้งแรกเมื่อวันที่ 6 กุมภาพันธ์ 2026 คำแนะนำด้านความปลอดภัยจัดประเภทช่องโหว่นี้ว่าเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ก่อนการยืนยันตัวตน ซึ่งเกิดจากช่องโหว่ OS command injection และสามารถโจมตีได้ผ่าน Client Request ที่สร้างขึ้นมาเป็นพิเศษไปยังระบบที่มีช่องโหว่

หลังจากนั้นไม่นานก็พบการสร้าง Proof-of-concept (PoC) สำหรับช่องโหว่ CVE-2026-1731 รวมถึงการโจมตีช่องโหว่ดังกล่าว

เมื่อวันที่ 13 กุมภาพันธ์ 2026 ทาง BeyondTrust ได้อัปเดตประกาศแจ้งเตือนว่า ตรวจพบการโจมตีเมื่อวันที่ 31 มกราคม 2026 ทำให้ CVE-2026-1731 กลายเป็นช่องโหว่ Zero-Day ที่ถูกใช้ในการโจมตีมาแล้วอย่างน้อยหนึ่งสัปดาห์

BeyondTrust ระบุว่า รายงานจากนักวิจัย Harsh Jaiswal และทีม Hacktron AI ยืนยันกิจกรรมที่ผิดปกติที่พวกเขาตรวจพบในอุปกรณ์ Remote Support เพียงเครื่องเดียวในขณะนั้น

สำหรับลูกค้า Cloud-Based Application (SaaS) BeyondTrust ระบุว่า แพตช์ได้รับการติดตั้งโดยอัตโนมัติเมื่อวันที่ 2 กุมภาพันธ์ 2026 ดังนั้นจึงไม่จำเป็นต้องมีการดำเนินการด้วยตนเอง

ลูกค้าที่ใช้งาน Self-Hosted Instances จำเป็นต้องเปิดใช้งานการอัปเดตอัตโนมัติ และตรวจสอบว่าได้ติดตั้งแพตช์แล้วผ่านทางอินเทอร์เฟซ '/appliance' หรือติดตั้งด้วยตนเอง

สำหรับ Remote Support แนะนำให้ติดตั้งเวอร์ชัน 25.3.2 รวมถึงผู้ใช้บริการเข้าถึงจากระยะไกลที่มีสิทธิ์พิเศษควรเปลี่ยนไปใช้เวอร์ชัน 25.1.1 หรือใหม่กว่า

สำหรับผู้ที่ยังคงใช้ RS เวอร์ชัน 21.3 และ PRA เวอร์ชัน 22.1 แนะนำให้อัปเกรดเป็นเวอร์ชันที่ใหม่กว่าก่อนติดตั้งแพตช์

ที่มา : bleepingcomputer

เมื่อวันพฤหัสบดีที่ผ่านมา สำนักงานด้านความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) เปิดเผยว่า Commvault กำลังเฝ้าระวังกิจกรรมภัยคุกคามทางไซเบอร์ที่กำหนดเป้าหมายไปยังแอปพลิเคชันที่โฮสต์อยู่ในสภาพแวดล้อม Microsoft Azure ของบริษัท (more…)

CISA ระบุว่าช่องโหว่ command injection (CVE-2024-12686) ใน Privileged Remote Access (PRA) และ Remote Support (RS) ของ BeyondTrust กำลังถูกนำไปใช้ในการโจมตีอย่างต่อเนื่องอยู่ในปัจจุบัน

ตามข้อกำหนด Binding Operational Directive (BOD) 22-01 หลังจากที่ช่องโหว่ได้ถูกเพิ่มเข้าไปใน Known Exploited Vulnerabilities catalog ของ CISA หน่วยงานของรัฐบาลกลางสหรัฐฯ จะต้องทำการแก้ไข รวมถึงรักษาความปลอดภัยเครือข่ายของตนจากการโจมตีที่มุ่งเป้าไปที่ช่องโหว่ดังกล่าวภายในสามสัปดาห์ หรือภายในวันที่ 3 กุมภาพันธ์ 2025

รวมถึง CISA ยังได้เพิ่มรายการช่องโหว่ command injection (CVE-2024-12356) อีกรายการที่มีความรุนแรงระดับ Critical ในผลิตภัณฑ์เดียวกันของ BeyondTrust ด้วย

BeyondTrust พบช่องโหว่ทั้ง 2 รายการ ในขณะที่กำลังสืบสวนเหตุการณ์โจมตี Remote Support SaaS instances บางส่วนในช่วงต้นเดือนธันวาคม โดย Hacker ได้ขโมย API key ออกไป ซึ่งต่อมาถูกนำไปใช้เพื่อรีเซ็ตรหัสผ่านสำหรับบัญชี local application

แม้ว่าการเปิดเผยข้อมูลของ BeyondTrust ในเดือนธันวาคม 2024 จะไม่ได้กล่าวถึงเรื่องนี้โดยตรง แต่คาดว่า Hacker น่าจะใช้ช่องโหว่ทั้ง 2 รายการเป็น Zero Days ในการโจมตีเข้าสู่ระบบของ BeyondTrust เพื่อเข้าถึงเครือข่ายของลูกค้า

ในช่วงต้นเดือนมกราคม 2025 กระทรวงการคลังเปิดเผยว่าเครือข่ายของกระทรวงถูกโจมตี โดยใช้รหัส API SaaS ของ Remote Support ที่ขโมยมาเพื่อเจาะระบบ BeyondTrust ที่หน่วยงานใช้งานอยู่

ตั้งแต่นั้นมา การโจมตีช่องโหว่ดังกล่าวก็ถูกเชื่อมโยงกับกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลจีนในชื่อ Silk Typhoon ซึ่งเป็นที่รู้จักในด้านการโจมตีเพื่อขโมยข้อมูล และกลายเป็นที่รู้จักอย่างกว้างขวางหลังจากโจมตีเซิร์ฟเวอร์ไปแล้วประมาณ 68,500 ระบบในช่วงต้นปี 2021 โดยใช้ช่องโหว่ Zero-Days ของ Microsoft Exchange Server ProxyLogon

โดยกลุ่ม Hacker ได้มุ่งเป้าไปที่สำนักงานควบคุมทรัพย์สินต่างประเทศ (OFAC) โดยเฉพาะ ซึ่งเป็นหน่วยงานที่ดูแลโครงการคว่ำบาตรทางการค้า และเศรษฐกิจ และคณะกรรมการการลงทุนจากต่างประเทศในสหรัฐอเมริกา (CFIUS) ซึ่งตรวจสอบการลงทุนจากต่างประเทศเพื่อตรวจสอบความเสี่ยงต่อความมั่นคงของชาติ รวมถึงยังได้โจมตีระบบของสำนักงานวิจัยการเงินของกระทรวงการคลัง แต่ผลกระทบของเหตุการณ์นี้ยังอยู่ระหว่างการประเมิน เชื่อกันว่า Silk Typhoon ได้ใช้ BeyondTrust digital key ที่ขโมยมาเพื่อเข้าถึงข้อมูลที่ไม่เป็นความลับที่เกี่ยวข้องกับการดำเนินการคว่ำบาตรที่อาจเกิดขึ้นและเอกสารอื่น ๆ

BeyondTrust ระบุว่า ได้ติดตั้งแพตช์ด้านความปลอดภัยสำหรับช่องโหว่ CVE-2024-12686 และ CVE-2024-12356 บน cloud instances ทั้งหมดเรียบร้อยแล้ว อย่างไรก็ตามผู้ที่ใช้งานอินสแตนซ์ที่โฮสต์ด้วยตนเองจะต้องติดตั้งแพตช์อัปเดตด้วยตนเอง

อย่างไรก็ตาม คำแนะนำด้านความปลอดภัยที่ออกเมื่อธันวาคม 2024 ของ BeyondTrust ยังไม่ได้ระบุว่าช่องโหว่ด้านความปลอดภัยทั้ง 2 รายการนี้ได้ถูกนำไปใช้ในการโจมตี

ที่มา : bleepingcomputer.