文章总结： 本文报道了BeyondTrust远程支持软件的高危漏洞CVE-2026-1731正被勒索团伙利用，该漏洞允许未经认证的远程代码执行。CISA已将其列入已知被利用漏洞目录并要求联邦机构限期修复。文章指出该漏洞具有零日属性，本地部署用户需立即升级版本，云用户已自动修补。事件凸显特权访问管理工具正成为攻击重点，企业应将其纳入最高级别安全监控与响应流程。 综合评分： 91 文章分类： 漏洞预警,漏洞分析,安全建设

BeyondTrust高危漏洞遭勒索团伙利用，留给企业的时间不多了

夯磅棱

2026年2月22日 10:57 北京

一个代号为CVE-2026-1731的远程代码执行漏洞，正被黑客用于勒索软件攻击。美国网络安全局证实了这一情况，要求联邦机构三天内必须修补或停用。这场争分夺秒的修复竞赛，暴露出特权访问管理工具成为新靶点的趋势。

高危漏洞已进入攻击武器库

美国网络安全和基础设施安全局（CISA）发出警报，确认针对BeyondTrust远程支持软件的CVE-2026-1731漏洞已被发现用于真实攻击。这个漏洞能让攻击者在无需事先认证的情况下执行任意系统命令，危险程度极高。

CISA在2月13日把该漏洞列入其“已知被利用漏洞”目录，相当于官方盖章确认威胁迫在眉睫。更关键的是，目录中给这个漏洞激活了“已知用于勒索软件攻击”的标记。这说明事情已经从理论风险升级为实际的破坏性攻击。

从披露到利用，时间窗口极短

整个事件的时间线，让人看着心惊肉跳。

BeyondTrust在2月6日首次披露漏洞细节。不到一周，能复现攻击的“概念验证”代码就在网上流传开了。紧接着，实际的攻击事件开始出现。

更讽刺的是，BeyondTrust在2月13日更新公告时说，他们回溯发现，最早的攻击尝试其实发生在1月31日。也就是说，在厂商公开承认问题之前，攻击者已经悄无声息地利用了至少一个星期。这完全符合我们对“零日漏洞”的定义——攻击在前，补丁在后。

补丁策略：云服务躺赢，本地部署跑断腿

面对危机，云服务和本地部署用户的心情可能是冰火两重天。

对使用BeyondTrust云服务的客户来说，厂商在2月2日就已经自动推送并应用了补丁，什么都不用做。这是典型的SaaS模式优势。

麻烦全留给了自己管理本地服务器的客户。他们必须手动检查并更新系统。具体建议是：

• 对于Remote Support软件，需要升级到25.3.2版本。
• 对于Priviteleged Remote Access权限远程访问软件，则需要使用25.1.1或更新版本。
• 如果还在使用更老的版本（比如RS v21.3或PRA v22.1），还需要先升级主版本，才能打上这个安全补丁。

CISA给联邦机构的命令更硬核：三天之内，要么打补丁，要么就下线别用了。这种“强制整改令”很少见，可见问题的严重性。

为何一个远程工具漏洞引发如此大震动？

说实话，BeyondTrust的远程支持工具出问题，影响远比一个普通软件漏洞要大。这背后有几个原因。

首先，这类工具本身就是为了让IT管理员能远程接入并控制系统而设计的，权限非常高。一旦被黑客控制，就相当于把整个系统的钥匙拱手送人。攻击者可以长驱直入，部署勒索软件、窃取数据或潜伏下来。

其次，这类工具通常在网络内部，防火墙往往对它们是放行的，攻击者从外部利用起来更加“顺畅”。

这件事还暴露出一个老生常谈的问题：安全响应速度。从厂商发现异常（1月31日）到公开披露（2月6日），中间隔了近一周。而补丁从发布到被所有用户安装，又是一段危险的“空窗期”。黑客正是利用了这个时间差。

这次事件给所有使用类似远程访问和特权管理工具的企业提了个醒：不能再把这些高权限工具当作普通软件管理了。它们的暴露面更大，必须纳入最高级别的安全监控和快速响应流程。

这已经不是最近第一个被快速利用的特权管理工具漏洞了。之前Ivanti的漏洞也被大规模利用。攻击者显然已经调整了策略，把目标瞄准了这些能“打开大门”的企业核心管理工具。未来，守住这些“特权访问”的入口，恐怕会是企业安全团队最头疼的战役之一。

参考资料

[1] https://www.bleepingcomputer.com/news/security/cisa-beyondtrust-rce-flaw-now-exploited-in-ransomware-attacks/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夯磅棱 《BeyondTrust高危漏洞遭勒索团伙利用，留给企业的时间不多了》