BeyondTrust: Kritische Sicherheitslücke wird aktiv ausgenutzt

Eine schwerwiegende Sicherheitslücke in den Secure-Access-Produkten von BeyondTrust wird bereits aktiv von Angreifern ausgenutzt. Die Schwachstelle ermöglicht es, Unternehmensnetzwerke ohne Authentifizierung zu kompromittieren – ein Albtraum für IT-Sicherheitsteams weltweit.

Was die Lücke so gefährlich macht

Die als CVE-2026-1731 identifizierte Schwachstelle hat einen Schweregrad von 9,9 von 10 Punkten. Sie betrifft lokale Installationen von BeyondTrust Remote Support und Privileged Remote Access. Das Besondere: Angreifer benötigen weder eine Benutzerinteraktion noch vorherige Anmeldedaten. Ein speziell präparierter Netzwerkverkehr reicht aus, um beliebige Systembefehle auszuführen.

Betroffen sind Version 25.3.1 und älter von Remote Support sowie Version 24.3.4 und älter von Privileged Remote Access. Besorgniserregend ist der Ort des Fehlers: Er liegt im selben Endpunkt wie eine frühere, berüchtigte Lücke (CVE-2024-12356), die 2024 von mutmaßlich chinesischen Staatshackern genutzt wurde, um das US-Finanzministerium zu kompromittieren. Der damalige Patch schloss die Tür offenbar nicht vollständig.

Rasante Eskalation: Von der Veröffentlichung zum Angriff

Die Zeitspanne zwischen der Bekanntgabe der Schwachstelle und den ersten Angriffen war extrem kurz – ein gefährlicher Trend in der Cybersicherheit.

BeyondTrust veröffentlichte die Patches am 6. Februar 2026, nachdem Forscher von Hacktron AI das Unternehmen am 31. Januar informiert hatten. Bereits am 10. Februar folgte eine technische Analyse mit einem Proof-of-Concept-Exploit in der Forschungscommunity. Dies war das Startsignal für Angreifer.

Am 11. Februar meldete das Threat-Intelligence-Unternehmen GreyNoise einen massiven Anstieg von Scan-Aktivitäten im Internet. Nur einen Tag später, am 12. Februar, beobachtete die Sicherheitsfirma watchTowr die ersten aktiven Ausnutzungsversuche in ihrem globalen Sensornetzwerk. Die Angreifer extrahierten zunächst Unternehmenskennungen, um dann über einen WebSocket-Kanal Befehle auf den betroffenen Systemen auszuführen.

Hohes Risiko für kritische Infrastrukturen

Die Produkte von BeyondTrust sind in der IT-Infrastruktur Tausender Unternehmen tief verwurzelt, darunter 75 der Fortune-100-Konzerne. Die Tools dienen dem Privileged Access Management (PAM) und der Fernwartung – sie sind damit ein hochwertiges Ziel. Eine Kompromittierung bietet Angreifern breiten Zugang zu sensibler Infrastruktur und eine mächtige Basis für die seitliche Bewegung in einem Netzwerk.

Zum Zeitpunkt der Offenlegung waren schätzungsweise 8.500 lokale Appliances dem Internet ausgesetzt, viele davon in kritischen Sektoren wie Gesundheitswesen, Finanzbranche und Behörden. BeyondTrust hatte seine Cloud-Kunden bereits am 2. Februar proaktiv gepatcht. Für lokale Installationen liegt die Verantwortung jedoch bei den Kunden selbst.

Dringende Handlungsempfehlungen für Betreiber

Die Sicherheitslage ist klar: Jede ungepatchte und dem Internet ausgesetzte Instanz muss als kompromittiert angesehen werden. BeyondTrust drängt lokale Kunden zur sofortigen Installation der Updates.

Für Organisationen mit älteren Versionen (vor Remote Support 21.3 oder Privileged Remote Access 22.1) ist zunächst ein vollständiges Upgrade auf eine unterstützte Version nötig. Sicherheitsexperten raten dringend zur Untersuchung betroffener Systeme auf Anzeichen von Post-Exploitation-Aktivitäten. Beobachtet wurden bereits Versuche, das Fernwartungstool SimpleHelp für anhaltenden Zugriff einzuschleusen und Netzwerke auszukundschaften.

In den kommenden Tagen rechnen Experten mit einer weiteren Zunahme der Angriffe, da immer mehr Bedrohungsakteure eigene Exploits entwickeln. Die Überwachung von Netzwerkverkehr, Systembefehlen und die Zentralisierung von Logs in einem SIEM-System sind jetzt entscheidend. Das Zeitfenster zum Handeln schließt sich rapide.

Wenn Sicherheitslücken wie CVE-2026-1731 Ihre Infrastruktur bedrohen, hilft ein praxisorientierter Leitfaden, Prioritäten zu setzen und Schutzmaßnahmen umzusetzen. Ein kostenloser Cyber-Security-Report erklärt aktuelle Bedrohungstrends, welche Maßnahmen jetzt besonders wirken (Patching, SIEM-Überwachung, Netzwerksegmentierung) und wie auch kleine IT-Teams ihre Abwehr effektiv stärken können. Jetzt kostenlosen Cyber-Security-Guide herunterladen

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.