تتعرض برمجيات الدعم عن بعد من شركة BeyondTrust حاليًا للاستغلال المكثف من قبل قراصنة الإنترنت، محاولين زرع برمجيات خبيثة متقدمة على الأنظمة المستهدفة. تستهدف هذه الهجمات ثغرة أمنية حرجة تحمل المعرف CVE-2026-1731، والتي تتيح للقراصنة تنفيذ أوامر نظام التشغيل دون الحاجة إلى أي تسجيل دخول، مما يضع الشركات في وضع بالغ الخطورة.
أصدرت شركة BeyondTrust تحذيرًا أمنيًا في 6 فبراير 2026، مؤكدة أن الثغرة CVE-2026-1731 هي ثغرة حقن أوامر نظام التشغيل (CWE-78) في مكون thin-scc-wrapper، والتي يمكن الوصول إليها مباشرة عبر الشبكة من خلال WebSocket. تم رصد استغلال نشط لهذه الثغرة في قطاعات حيوية مثل الخدمات المالية، الرعاية الصحية، الخدمات القانونية، والتعليم العالي.
استغلال ثغرة BeyondTrust الأمنية الحرجة
كشفت تحليلات فريق Unit 42 التابع لشركة Palo Alto Networks عن حملة استغلال واسعة النطاق طالت أكثر من 10,600 نسخة مكشوفة من برنامج BeyondTrust. تتراوح القطاعات المتأثرة عبر الولايات المتحدة، فرنسا، ألمانيا، أستراليا، وكندا. سارعت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) بإدراج الثغرة CVE-2026-1731 ضمن قائمة الثغرات المعروفة والمستغلَّة (KEV)، مطالبةً بتصحيحها فورًا للوكالات الفيدرالية وحثّت القطاع الخاص على اتخاذ إجراءات مماثلة.
في قلب هذه الهجمات، تبرز حقيبتان تتلقيان الأوامر: الأولى هي SparkRAT، وهي حصان طروادة للوصول عن بعد مصمم بلغة Go، شوهدت سابقًا في حملات مرتبطة بمجموعة DragonSpark. أما الحقيبة الثانية فهي VShell، وهي برمجية خبيثة مصممة لنظام لينكس، تشتهر بقدرتها على العمل في الذاكرة دون الحاجة لتثبيت ملفات، مما يجعل اكتشافها صعبًا.
تتصل الثغرة CVE-2026-1731 بثغرة سابقة في BeyondTrust تحمل المعرف CVE-2024-12356، والتي استغلها سابقًا فريق Silk Typhoon (APT27) في اختراق وزارة الخزانة الأمريكية عام 2024. يشير تشابه هذه الثغرات في الاعتماد على ضعف التحقق من مدخلات المستخدم إلى أن منصات الوصول عن بعد تظل هدفًا رئيسيًا للمهاجمين المتمرسين.
مسار العدوى التفصيلي
تبدأ عملية الاختراق عندما يقوم المهاجم بإنشاء اتصال WebSocket بالجهاز المستهدف، ثم يرسل قيمة مشوهة للمعامل remoteVersion بصيغة a[$(cmd)]0 خلال مرحلة المصافحة. هذا الإدخال المعالج من قبل النص البرمجي thin-scc-wrapper، والذي يستخدم سياقات حساب bash، يفسر المدخلات كتعابير قابلة للتنفيذ بدلاً من كونها أرقامًا عادية، مما يسمح بتنفيذ الأمر المضمن بصمت.
بعد ذلك، يقوم المهاجم بنشر قذائف ويب (web shells)، غالبًا ما تكون عبارة عن برمجية خبيثة PHP مضغوطة يتم تثبيتها عبر الدالة eval()، ثم استخدام قذيفة متعددة الاتجاهات تسمى aws.php.
يلي ذلك استخدام أداة إسقاط (dropper) مكتوبة بلغة bash، تقوم بزراعة حقيبة خلفية محمية بكلمة مرور في جذر الويب، وتُحقن مؤقتًا توجيه تكوين Apache خبيث، ثم تقوم فورًا بالكتابة فوق ملف التكوين على القرص لإخفاء جميع آثار الاختراق.
تنصح BeyondTrust العملاء الذين يستضيفون برامجهم بأنفسهم بتطبيق التصحيحات المتوفرة يدويًا، وهي Remote Support 25.3.2 و Privileged Remote Access 25.1.1. كما توصي بالترقية إلى إصدارات أحدث من 21.3 (لـ RS) أو 22.1 (لـ PRA) قبل تطبيق هذه التصحيحات.