BeyondTrust: Kritische Lücke in Remote-Software wird aktiv ausgenutzt

Eine schwerwiegende Sicherheitslücke in den weit verbreiteten Remote-Zugangslösungen von BeyondTrust wird jetzt aktiv von Angreifern ausgenutzt. US-Behörden und Sicherheitsforscher warnen dringend vor der Gefahr. Die Schwachstelle mit dem Kürzel CVE-2026-1731 hat einen Schweregrad von 9,9 von 10 und ermöglicht die vollständige Übernahme von Systemen, ohne dass ein Nutzer etwas tun muss. Die US-Cybersicherheitsbehörde CISA hat die Lücke in ihren Katalog bekannter, ausgenutzter Schwachstellen aufgenommen und fordert Bundesbehörden zum sofortigen Handeln auf.

Vom Patch zur Krise in wenigen Tagen

Die Lage hat sich innerhalb einer Woche von einer bekannten Schwachstelle zu einer akuten Sicherheitskrise entwickelt. BeyondTrust hatte die Lücke am 6. Februar offengelegt und Patches bereitgestellt. Doch die Gefahr eskalierte, als um den 10. Februar herum ein funktionierender Exploit-Code öffentlich wurde. Innerhalb von 24 Stunden beobachteten Sicherheitsfirmen wie GreyNoise einen massiven Anstieg von Scans im Internet, bei denen Angreifer nach verwundbaren Systemen suchten.

Bereits in der Nacht zum 13. Februar wurden die ersten aktiven Angriffe beobachtet. Die Täter nutzen die Lücke, um Werkzeuge wie SimpleHelp zu installieren. Damit sichern sie sich dauerhaften Zugang und können sich innerhalb kompromittierter Netzwerke weiter ausbreiten. Diese schnelle „Waffenisierung“ der Schwachstelle zeigt: Die Zeitfenster für Unternehmen, kritische Patches einzuspielen, schrumpfen dramatisch.

So gefährlich ist die Schwachstelle CVE-2026-1731

Bei der Lücke handelt es sich um eine Command-Injection-Schwachstelle. Ein Angreifer kann speziell präparierte Anfragen an einen Server senden und das System so dazu bringen, beliebige schädliche Befehle auszuführen. Das Besondere und Gefährliche: Die Lücke ist „pre-authentication“. Das bedeutet, der Angreifer benötigt keinerlei gültige Zugangsdaten oder Vorzugriff.

Betroffen sind On-Premise-Installationen der BeyondTrust-Produkte Remote Support (Version 25.3.1 und früher) und Privileged Remote Access (Version 24.3.4 und früher). Cloud-Kunden wurden Anfang Februar automatisch gepatcht. Für selbst gehostete Systeme müssen die Updates jedoch manuell installiert werden. Sicherheitsforscher schätzen, dass Tausende dieser Instanzen direkt aus dem Internet erreichbar und damit angreifbar sind.

Ein beunruhigendes Muster wiederholt sich

Die aktuelle Lücke ist kein Einzelfall, sondern eine Variante einer bereits 2024 ausgenutzten Schwachstelle (CVE-2024-12356). Damals nutzte die mutmaßlich staatlich unterstützte Hackergruppe „Silk Typhoon“ die Lücke für einen Angriff auf das US-Finanzministerium. Dass Angreifer erneut dieselben Software-Komponenten ins Visier nehmen, unterstreicht den hohen Stellenwert der Plattform für komplexe Attacken.

BeyondTrust-Lösungen werden von über 20.000 Kunden genutzt, darunter die Mehrheit der Fortune-100-Unternehmen. Ein erfolgreicher Angriff auf diese Systeme kann daher als Einfallstor für folgenschwere Supply-Chain-Angriffe dienen und ganze Lieferketten gefährden.

Dringende Handlungsempfehlungen für Unternehmen

Die wichtigste und dringendste Maßnahme für alle betroffenen Organisationen ist klar: Die Patches von BeyondTrust müssen sofort eingespielt werden. Da die aktive Ausnutzung bereits läuft, gilt jedes ungepatchte, internetfähige System als hoch gefährdet.

Wenn Ihre IT- und Security-Teams jetzt schnell reagieren müssen: Der kostenlose E‑Book-Report „Cyber Security Awareness Trends“ fasst aktuelle Exploit‑Trends, Sofortmaßnahmen für Incident Response und praxisnahe Schutzmaßnahmen kompakt zusammen – ideal für IT-Verantwortliche und Sicherheitsmanager. Jetzt kostenloses Cyber-Security-E‑Book herunterladen

Sicherheitsexperten raten Unternehmen, die noch nicht gepatcht haben, sofort mit Incident-Response-Maßnahmen zu beginnen. Sie sollten nach Anzeichen eines unbefugten Zugriffs oder unerwarteter Software wie SimpleHelp suchen. Wenn ein sofortiges Patchen nicht möglich ist, sollten zumindest temporäre Schutzmaßnahmen ergriffen werden. Dazu gehört, den Zugriff auf die Management-Schnittstelle der Geräte über Firewalls auf bestimmte IP-Adressen zu beschränken.

In den kommenden Tagen wird die Geschwindigkeit, mit der Unternehmen ihre Systeme sichern, darüber entscheiden, ob es zu weiteren schwerwiegenden Sicherheitsvorfällen kommt. Die Warnungen der Behörden sind eindeutig: Zögern ist keine Option.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.