Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Najnowsza fala ataków wymierzonych w środowiska Bomgar Remote Support, obecnie rozwijane w portfolio BeyondTrust, ponownie zwraca uwagę na zagrożenia związane z narzędziami klasy RMM. Platformy tego typu służą do zdalnego wsparcia, administracji i obsługi klientów, dlatego zwykle dysponują szerokimi uprawnieniami oraz bezpośrednim dostępem do systemów końcowych.
W praktyce oznacza to, że przejęcie takiego rozwiązania może dać napastnikowi uprzywilejowany punkt wejścia do infrastruktury organizacji. Jeśli dodatkowo narzędzie obsługuje wielu klientów lub partnerów, incydent szybko przestaje być problemem jednej firmy i zaczyna zagrażać całemu łańcuchowi dostaw.
W skrócie
W centrum incydentów znajduje się krytyczna luka CVE-2026-1731, umożliwiająca niezautoryzowane zdalne wykonanie kodu przed uwierzytelnieniem. Problem dotyczy BeyondTrust Remote Support oraz wybranych starszych wersji Privileged Remote Access.
W ostatnich tygodniach obserwowano serię ataków, w których podatność była wykorzystywana do uzyskania trwałego dostępu, eskalacji uprawnień, wdrażania dodatkowych narzędzi zdalnego dostępu i w części przypadków do uruchamiania ransomware. Szczególnie niebezpieczny pozostaje wpływ na łańcuch dostaw, ponieważ pojedynczy skompromitowany serwer RMM może otworzyć drogę do wielu organizacji jednocześnie.
- Krytyczna luka pre-auth RCE pozwala rozpocząć atak bez logowania.
- Przejęcie platformy RMM daje napastnikowi uprzywilejowaną pozycję w infrastrukturze.
- Ofiarami mogą stać się nie tylko operatorzy narzędzia, ale też ich klienci i partnerzy.
- W części kampanii obserwowano dalsze wdrażanie ransomware i narzędzi do utrwalania dostępu.
Kontekst / historia
Bomgar przez lata funkcjonował jako rozpoznawalne rozwiązanie do zdalnego wsparcia i administracji uprzywilejowanej, a po zmianach właścicielskich został włączony do oferty BeyondTrust. Narzędzia tej klasy są powszechnie wykorzystywane przez zespoły IT, integratorów, producentów oprogramowania oraz dostawców usług zarządzanych.
Ich znaczenie operacyjne jest bardzo wysokie, ponieważ umożliwiają szybką diagnostykę, zdalne sesje serwisowe i zarządzanie infrastrukturą klientów. Jednocześnie właśnie ta centralna rola czyni je szczególnie atrakcyjnym celem dla cyberprzestępców, którzy coraz częściej szukają pojedynczego punktu wejścia pozwalającego na rozszerzenie kompromitacji na wiele podmiotów.
Podatność CVE-2026-1731 została ujawniona na początku lutego 2026 roku. Z dostępnych opisów wynika, że jest to krytyczna luka umożliwiająca wykonanie poleceń systemowych przy użyciu specjalnie spreparowanych żądań bez wcześniejszego uwierzytelnienia.
Analiza techniczna
Technicznie problem dotyczy możliwości zdalnego wykonania komend systemowych bez potrzeby posiadania ważnego konta lub przeprowadzania wcześniejszego phishingu. To scenariusz szczególnie groźny, ponieważ eliminuje wiele typowych barier wejścia i pozwala rozpocząć kompromitację bezpośrednio od podatnego systemu brzegowego lub serwera odpowiedzialnego za zdalne wsparcie.
W analizowanych incydentach obserwowano powtarzalny schemat działania. Najpierw dochodziło do wykorzystania podatności w instancji Bomgar lub BeyondTrust Remote Support, następnie atakujący wykonywali rekonesans, identyfikowali uprzywilejowane konta oraz systemy o najwyższej wartości, a później utrwalali obecność poprzez instalację dodatkowych narzędzi zdalnego dostępu.
W części przypadków wdrażano rozwiązania takie jak AnyDesk czy Atera, a także dodawano nowych użytkowników do lokalnych lub domenowych grup administratorów. Taki zestaw działań zwiększał trwałość dostępu i ułatwiał poruszanie się po sieci przy użyciu technik przypominających legalną administrację.
Szczególnie istotne jest to, że narzędzia RMM działają zwykle z wysokimi uprawnieniami i mają zaufaną pozycję w infrastrukturze. Gdy atakujący przejmie taki system, jego aktywność może wyglądać jak zwykłe działania zespołu wsparcia IT, co znacząco utrudnia detekcję oraz reakcję.
Dodatkowym elementem ryzyka jest relacyjny charakter takich wdrożeń. Jeżeli podatna instancja znajduje się po stronie dostawcy usług zarządzanych, producenta oprogramowania lub firmy serwisowej, jeden punkt wejścia może umożliwić dostęp do wielu klientów. To właśnie odróżnia tego typu incydenty od klasycznego włamania ograniczonego do jednej organizacji.
Konsekwencje / ryzyko
Najbardziej oczywistą konsekwencją jest pełne przejęcie systemu obsługującego zdalne wsparcie, a następnie przejęcie kontroli nad hostami zarządzanymi z jego poziomu. W środowisku przedsiębiorstwa może to oznaczać dostęp do stacji roboczych administratorów, serwerów aplikacyjnych, kontrolerów domeny, środowisk klientów oraz kanałów serwisowych wykorzystywanych przez partnerów.
Ryzyko biznesowe jest wysokie z kilku powodów. Po pierwsze, luka ma krytyczny charakter i nie wymaga uwierzytelnienia. Po drugie, dotyczy systemów o uprzywilejowanej pozycji w infrastrukturze. Po trzecie, pozwala na efekt kaskadowy w łańcuchu dostaw, przez co pojedynczy incydent może prowadzić do wielopodmiotowego naruszenia bezpieczeństwa.
W konsekwencji organizacje muszą liczyć się z przestojami operacyjnymi, izolacją środowisk klientów, kosztownymi działaniami incident response, utratą zaufania partnerów oraz ryzykiem regulacyjnym. Nie można też ignorować zagrożenia ransomware, ponieważ w części kampanii obserwowano przypadki wdrażania wariantów opartych o wyciekły builder LockBit 3.0.
Rekomendacje
Organizacje korzystające z BeyondTrust Remote Support, starszych wdrożeń PRA oraz innych systemów zdalnego wsparcia powinny potraktować ten temat priorytetowo. Pierwszym krokiem powinna być natychmiastowa weryfikacja, czy środowisko jest podatne na CVE-2026-1731 oraz czy zastosowano aktualizacje i środki zaradcze producenta.
- Przeprowadzić inwentaryzację wszystkich instancji RMM, również tych utrzymywanych przez partnerów i dostawców usług zarządzanych.
- Zweryfikować połączenia trustowe oraz kanały administracyjne prowadzące do środowisk klientów i partnerów.
- Monitorować tworzenie nowych kont administracyjnych i zmiany w grupach uprzywilejowanych.
- Analizować procesy powiązane z Bomgar i BeyondTrust pod kątem nietypowych parametrów oraz nieautoryzowanych sesji.
- Wykrywać nieplanowane instalacje dodatkowych narzędzi zdalnego dostępu, takich jak AnyDesk czy Atera.
- Przeglądać logi sieciowe oraz dane EDR pod kątem rekonesansu, ruchu lateralnego i aktywności na kontrolerach domeny.
Od strony architektonicznej warto ograniczyć zasięg uprawnień narzędzi RMM zgodnie z zasadą najmniejszych uprawnień, wdrożyć segmentację sieci oraz oddzielić infrastrukturę administracyjną od systemów produkcyjnych i środowisk klientów. Istotne pozostaje także silne uwierzytelnianie operatorów, przegląd kont serwisowych i rotacja poświadczeń po wykryciu anomalii.
Jeżeli istnieje podejrzenie kompromitacji, serwer RMM należy potraktować jako punkt o najwyższym priorytecie dochodzeniowym. Obejmuje to izolację systemu, analizę śladów trwałości, przegląd kont uprzywilejowanych, polowanie na lateral movement oraz ocenę, czy naruszenie objęło także klientów lub partnerów biznesowych.
Podsumowanie
Wzrost aktywności wokół CVE-2026-1731 pokazuje, że narzędzia zdalnego wsparcia pozostają jednym z najbardziej ryzykownych elementów współczesnej infrastruktury IT. Ich kompromitacja daje napastnikowi nie tylko dostęp do pojedynczej organizacji, ale często również do całego ekosystemu klientów i partnerów.
To klasyczny przykład zagrożenia dla łańcucha dostaw, w którym wysoki poziom zaufania do narzędzia staje się głównym wektorem ataku. Dla zespołów bezpieczeństwa oznacza to konieczność natychmiastowego patchowania, aktywnego monitorowania nadużyć legalnych narzędzi administracyjnych oraz traktowania platform RMM jako aktywów krytycznych.
Źródła
- Dark Reading — Surge in Bomgar RMM Exploitation Demonstrates Supply Chain Risk — https://www.darkreading.com/cyberattacks-data-breaches/surge-bomgar-rmm-exploitation-demonstrates-supply-chain-risk
- NIST National Vulnerability Database — CVE-2026-1731 Detail — https://nvd.nist.gov/vuln/detail/CVE-2026-1731
- BeyondTrust — Security Advisory BT26-02 — https://www.beyondtrust.com/trust-center/security-advisories/bt26-02
- CISA — Known Exploited Vulnerabilities Catalog (CVE-2026-1731) — https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-1731