Четыре новые уязвимости в BeyondTrust: почему повторение прошлогодней истории с веб-шеллами снова стало реальным риском?

BeyondTrust выпустила обновления безопасности для двух своих флагманских продуктов — Remote Support (RS) и Privileged Remote Access (PRA). Всего закрыто четыре бреши, и две из них получили статус критических: злоумышленник без единой учётной записи и пароля мог получить полный контроль над устройством. Для компании, чьи продукты используются для удалённого администрирования корпоративных систем, это не рядовая заплатка — это ровно тот сценарий, которого боятся все, кто отвечает за периметр сети.
Самая тревожная из четырёх — CVE-2026-40138 с оценкой 9.2 по CVSS. Проблема сидит в подсистеме аутентификации сразу обоих продуктов, RS и PRA, и вызвана некорректной проверкой данных авторизации. Атакующий, находящийся в той же сети, что и уязвимая система, способен обойти контроль доступа и получить права, включая учётные записи с повышенными привилегиями. Единственное условие — в системе должна быть включена определённая конфигурация аутентификации, что несколько сужает круг потенциальных жертв, но никак не отменяет серьёзности проблемы.
Вторая критическая уязвимость, CVE-2026-40139, тоже получила 9.2 балла и тоже касается механизма аутентификации, только уже конкретно в Remote Support. Здесь причина — некорректная обработка запросов на аутентификацию, а бить по ней может вообще неавторизованный удалённый злоумышленник. То есть человеку не нужно быть внутри сети — достаточно доступа через интернет при той же специфической конфигурации. Результат идентичен предыдущей: обход контроля доступа вплоть до аккаунтов с расширенными правами.
Третья брешь, CVE-2026-40140, оценена в 8.7 балла и относится уже к категории высокой, а не критической опасности. Она живёт в подсистеме сетевых коммуникаций и появляется из-за недостаточной проверки данных, поступающих от клиента. Эксплуатация не требует аутентификации вовсе и приводит к отказу в обслуживании — фактически злоумышленник может положить устройство, сделав его недоступным для легитимных пользователей.
Четвёртая, CVE-2026-40141, получила 8.5 балла и находится в веб-компоненте обоих продуктов. Причина стандартная для веб-приложений — недостаточная валидация пользовательского ввода. Но эксплуатировать её может уже не любой прохожий из интернета, а только авторизованный пользователь с ограниченными правами, который таким образом получает доступ к данным и ресурсам за пределами своих полномочий. Условие узкое: эксплуатация возможна только для аккаунтов с определённым набором разрешений.
Отдельного внимания заслуживает то, как эти четыре бага вообще нашли. BeyondTrust заявляет, что все уязвимости обнаружены внутренней командой в ходе плановых проверок безопасности, причём в поиске помогали не только собственные инструменты компании, но и общедоступная модель искусственного интеллекта — Anthropic Claude Opus 4.8. Формулировка звучит буднично, но по сути это признание: крупная компания официально использует коммерческую нейросеть для аудита кода корпоративного ПО безопасности, и это работает.
В официальном заявлении компания описала риски почти дословно так: «Наиболее серьёзные уязвимости могут позволить неаутентифицированному удалённому злоумышленнику обойти контроль доступа и получить несанкционированный доступ к устройству при определённых конфигурациях». И далее: «Дополнительные уязвимости могут привести к нарушению работы сервиса, непреднамеренному доступу к данным и, при иных конфигурациях, к повышению привилегий аутентифицированным пользователем, что может повлиять на целостность системы».
С точки зрения затронутых версий картина простая. Уязвимы все выпуски Remote Support и Privileged Remote Access вплоть до 25.3.2 включительно. Исправление доступно в версии 25.3.3 и выше — обновиться нужно именно до неё или новее, никаких промежуточных патчей не предусмотрено.
По данным самой BeyondTrust, ни одна из четырёх свежих уязвимостей пока не эксплуатируется в реальных атаках. Но у этой формулировки есть неприятный подтекст: у компании уже есть история с активной эксплуатацией похожих проблем в тех же продуктовых линейках. Речь о CVE-2024-12356 и CVE-2026-1731 — обе использовались злоумышленниками для развёртывания веб-шеллов и бэкдоров на скомпрометированных устройствах. То есть RS и PRA уже как минимум дважды становились точкой входа для реальных атак, а не гипотетическим риском из бюллетеня безопасности.
Именно этот прецедент делает рекомендацию компании не формальностью, а практической необходимостью. Учитывая, что предыдущие похожие баги превращались в инструмент для закрепления атакующих в инфраструктуре, откладывать обновление до версии 25.3.3 или выше — решение с понятной ценой ошибки. Тем более что для двух критических уязвимостей барьер входа для атакующего минимален: сетевая доступность плюс включённая конфигурация аутентификации, и в одном из случаев даже не требуется быть внутри периметра вообще.


Новое на сайте

Ссылка