BeyondTrust: Kritische Zero-Day-Lücke bedroht Tausende Unternehmen

Eine schwerwiegende Sicherheitslücke in den Remote-Zugangslösungen von BeyondTrust ermöglicht Angreifern die vollständige Übernahme von IT-Systemen. Die Schwachstelle betrifft zentrale Tools für den IT-Support und das privilegierte Zugangsmanagement.

Angriff ohne Voraussetzungen

Die als CVE-2026-1731 eingestufte Lücke ist besonders gefährlich, weil Angreifer weder Zugangsdaten noch vorherigen Zugriff benötigen. Es handelt sich um eine Pre-Authentication Remote Code Execution-Schwachstelle. Einfach ausgedrückt: Speziell präparierte Anfragen an einen verwundbaren Server reichen aus, um beliebige Betriebssystembefehle auszuführen. Der Angreifer erhält damit die Rechte des Systembenutzers – ein direkter Fuß in der Tür des gesamten Netzwerks.

Betroffen sind die Produkte Remote Support (Version 25.3.1 und älter) und Privileged Remote Access (Version 24.3.4 und älter). Diese Tools sind in Tausenden Unternehmen weltweit im Einsatz, um den Zugriff auf kritische Systeme zu verwalten. Ihre Kompromittierung würde Angreifern praktisch die „Schlüssel zum Königreich“ in die Hand geben.

KI entdeckt Schwachstelle – Hersteller reagiert schnell

Entdeckt wurde die Lücke vom Sicherheitsforscher Harsh Jaiswal und seinem Team bei Hacktron AI. Sie nutzten KI-gestützte Analysetechniken. Durch eine verantwortungsvolle Offenlegung an BeyondTrust blieb Zeit für die Entwicklung eines Patches, bevor Details öffentlich wurden.

Passend zum Thema: Viele Unternehmen unterschätzen, wie schnell Angreifer ungepatchte Systeme ausnutzen. Der kostenlose Report „Cyber Security Awareness Trends“ erklärt aktuelle Angriffsstrategien (inklusive KI-gestützter Methoden), priorisiert sofort umsetzbare Schutzmaßnahmen und zeigt, wie Sie On‑Premise‑Systeme ohne große Investitionen härten können. Praktische Checklisten für IT‑Verantwortliche und Führungskräfte helfen, Risiken schnell zu reduzieren. Cyber‑Security‑Report kostenlos herunterladen

BeyondTrust hat bereits reagiert: Für Cloud-Kunden wurde der Schutzpatch automatisch und unsichtbar am 2. Februar 2026 eingespielt. Diese müssen nichts weiter tun. Die eigentliche Herausforderung betrifft nun die vielen Unternehmen mit On-Premise-Installationen.

Dringender Handlungsbedarf für lokale Installationen

Für selbst gehostete Systeme gilt höchste Eile. BeyondTrust hat die spezifischen Patches BT26-02-RS und BT26-02-PRA veröffentlicht. Sie müssen manuell über die Administrationsoberfläche der Appliance eingespielt werden.

• Remote Support sollte auf Version 25.3.2 oder höher aktualisiert werden.
• Privileged Remote Access benötigt mindestens Version 25.1.1.

Noch kritischer ist die Lage für Nutzer veralteter, nicht mehr unterstützter Versionen (RS vor 21.3, PRA vor 22.1). Diese müssen zunächst ein Upgrade auf eine unterstützte Version durchführen, bevor der Sicherheitspatch überhaupt anwendbar ist. Bis dahin bleiben ihre Systeme angreifbar.

PAM-Systeme im Fadenkreuz der Angreifer

Der Vorfall unterstreicht ein grundlegendes Dilemma der Cybersicherheit: Je zentraler und mächtiger ein Sicherheitstool ist, desto attraktiver wird es als Ziel für Angreifer. Ein erfolgreicher Angriff auf ein Privileged Access Management (PAM)-System wie von BeyondTrust kann verheerender sein als Dutzende Lücken in anderen Programmen. Es öffnet den direkten Weg zu den sensibelsten Konten im Unternehmen.

Für BeyondTrust ist es nicht der erste Sicherheitsvorfall dieser Art. Bereits Ende 2024 und Anfang 2025 musste sich das Unternehmen mit kritischen Schwachstellen auseinandersetzen, die laut Berichten von staatlich unterstützten Angreifern ausgenutzt wurden. Damals warnten auch Behörden wie die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA).

Wettlauf gegen die Zeit beginnt

Mit der Veröffentlichung der Details beginnt nun der Wettlauf. Die Cybersicherheits-Community rechnet damit, dass Angreifer sofort damit beginnen, das Internet nach ungepatchten BeyondTrust-Systemen abzusuchen. Der nächste Schritt wäre die Entwicklung funktionsfähiger Exploits durch Reverse-Engineering der Patches.

Die verantwortungsvolle Offenlegung hat den Verteidigern einen Vorsprung verschafft. Dieser muss jetzt genutzt werden. Für alle Betreiber lokaler BeyondTrust-Installationen lautet die einzige Botschaft: Sofort handeln. Jedes ungepatchte System muss ab sofort als akut gefährdet und kompromittierbar angesehen werden.

PS: Sofort handeln zahlt sich aus — neben Patches stärken Awareness‑Maßnahmen, Anti‑Phishing-Prozesse und technische Härtungen Ihre Abwehr. Das gratis E‑Book liefert eine umsetzbare Checkliste für Unternehmen, erklärt Prioritäten bei begrenztem Budget und zeigt, welche Maßnahmen Angreifer am effektivsten stoppen. Ideal für IT‑Leitung und Geschäftsführung, die schnell Risiken senken wollen. Jetzt kostenlosen Cyber‑Security‑Guide sichern