
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
BeyondTrust opublikował poprawki usuwające kilka poważnych podatności w produktach Remote Support (RS) oraz Privileged Remote Access (PRA). Najgroźniejsze błędy dotyczą mechanizmów uwierzytelniania przed zalogowaniem i mogą umożliwić obejście kontroli dostępu, a w konsekwencji nieautoryzowany dostęp do podatnych urządzeń zarządzających zdalnym wsparciem i uprzywilejowanym dostępem.
W skrócie
W pakiecie poprawek znalazły się cztery podatności oznaczone jako CVE-2026-40138, CVE-2026-40139, CVE-2026-40140 oraz CVE-2026-40141. Dwie pierwsze mają charakter krytyczny i uzyskały ocenę CVSS v4 na poziomie 9.2. Problem obejmuje wersje RS 25.3.2 i starsze oraz PRA 25.3.2 i starsze, a producent zaleca aktualizację do wersji 25.3.3 lub nowszych albo wdrożenie odpowiednich pakietów security rollup.
- CVE-2026-40138: krytyczna luka pre-auth w RS i PRA
- CVE-2026-40139: krytyczna luka pre-auth w RS
- CVE-2026-40140: podatność umożliwiająca odmowę usługi
- CVE-2026-40141: ryzyko dostępu do niezamierzonych zasobów przez użytkownika z ograniczonymi uprawnieniami
Kontekst / historia
Rozwiązania BeyondTrust są szeroko wykorzystywane w organizacjach, które potrzebują bezpiecznego zdalnego wsparcia technicznego, dostępu administracyjnego oraz kontroli nad kontami uprzywilejowanymi. Z tego powodu wszelkie luki w RS i PRA mają istotne znaczenie operacyjne oraz bezpieczeństwa, szczególnie w środowiskach enterprise.
Według producenta błędy zostały wykryte wewnętrznie w ramach bieżących ocen bezpieczeństwa. Firma wskazała również, że podczas procesu badawczego korzystano z publicznie dostępnych modeli AI oraz własnych narzędzi analitycznych. Pokazuje to, że automatyzacja coraz częściej wspiera nie tylko rozwój oprogramowania, ale także identyfikację złożonych podatności.
Choć nie wskazano aktywnego wykorzystania tych konkretnych luk w rzeczywistych atakach, wcześniejsze incydenty związane z systemami zdalnego dostępu i zarządzania dostępem uprzywilejowanym pokazują, że pozostają one atrakcyjnym celem dla napastników. Z perspektywy obronnej oznacza to konieczność szybkiego wdrażania poprawek nawet wtedy, gdy nie ma jeszcze publicznych doniesień o exploitach.
Analiza techniczna
Najpoważniejsze podatności to CVE-2026-40138 i CVE-2026-40139. Obie dotyczą niewłaściwej obsługi procesów uwierzytelniania przed zalogowaniem, co w praktyce może umożliwić ominięcie standardowych mechanizmów kontroli dostępu jeszcze przed ustanowieniem prawidłowej sesji użytkownika.
CVE-2026-40138 wpływa zarówno na Remote Support, jak i Privileged Remote Access. Błąd wynika z nieprawidłowej walidacji danych uwierzytelniających i w określonych konfiguracjach może pozwolić atakującemu znajdującemu się w odpowiedniej pozycji sieciowej na uzyskanie nieautoryzowanego dostępu, potencjalnie również do kont o podwyższonych uprawnieniach.
CVE-2026-40139 dotyczy wyłącznie Remote Support i także ma charakter pre-auth. W tym przypadku problemem jest niewłaściwe przetwarzanie żądań uwierzytelniających, co może skutkować zdalnym obejściem mechanizmów kontroli dostępu przez nieuwierzytelnionego napastnika.
CVE-2026-40140 to podatność wysokiego ryzyka w subsystemie komunikacji sieciowej. Jej przyczyną jest niewystarczająca walidacja danych wejściowych dostarczanych przez klienta. W efekcie atakujący bez uwierzytelnienia może doprowadzić do warunku denial-of-service, wpływając na dostępność urządzenia lub usługi.
CVE-2026-40141 obejmuje komponent aplikacji webowej w RS i PRA. Luka wynika z niewłaściwej walidacji danych wejściowych i może umożliwić użytkownikowi z ograniczonymi uprawnieniami dostęp do zasobów lub danych wykraczających poza jego autoryzację. Taki scenariusz jest szczególnie istotny w środowiskach, w których role są rozproszone pomiędzy help desk, administratorów i operatorów bezpieczeństwa.
Warto podkreślić, że nie wszystkie luki są równie łatwe do wykorzystania. Producent zaznacza, że krytyczne błędy wymagają określonych konfiguracji uwierzytelniania, a CVE-2026-40141 jest ograniczone do kont z konkretnymi uprawnieniami. Nie zmienia to jednak faktu, że podatności w systemach PAM i zdalnego wsparcia powinny być traktowane priorytetowo.
Konsekwencje / ryzyko
Najważniejszym ryzykiem jest przejęcie kontroli nad urządzeniem obsługującym zdalny dostęp lub sesje uprzywilejowane. W praktyce może to oznaczać możliwość eskalacji działań do poziomu administracyjnego, przejęcia sesji, uzyskania dostępu do poświadczeń pośrednio obsługiwanych przez system, a także dalszego ruchu lateralnego w sieci organizacji.
W środowiskach enterprise RS i PRA często stanowią punkt styku pomiędzy użytkownikiem końcowym, administratorem a infrastrukturą krytyczną. Udane obejście uwierzytelniania w takim komponencie może skutkować:
- naruszeniem poufności danych operacyjnych i administracyjnych,
- modyfikacją ustawień bezpieczeństwa,
- zakłóceniem ciągłości pracy zespołów wsparcia,
- kompromitacją procesów dostępu uprzywilejowanego,
- zwiększeniem ryzyka wdrożenia backdoorów lub trwałych mechanizmów dostępowych.
Luka typu DoS dodatkowo zwiększa powierzchnię ryzyka, ponieważ nawet bez pełnej kompromitacji atakujący może obniżyć dostępność usługi. W organizacjach zależnych od zdalnego wsparcia technicznego może to mieć bezpośredni wpływ na SLA, obsługę incydentów oraz zdolność realizacji działań naprawczych.
Rekomendacje
Organizacje korzystające z BeyondTrust RS i PRA powinny potraktować aktualizację jako działanie pilne. W pierwszej kolejności należy zidentyfikować wszystkie instancje wersji 25.3.2 i starszych oraz sprawdzić, czy środowisko korzysta z konfiguracji uwierzytelniania wskazanych przez producenta jako warunek wykorzystania najgroźniejszych luk.
- zaktualizować Remote Support do wersji 25.3.3 lub nowszej,
- zaktualizować Privileged Remote Access do wersji 25.3.3 lub nowszej,
- w środowiskach self-hosted zastosować odpowiedni pakiet Security Rollup z kwietnia 2026, jeśli automatyczne aktualizacje nie są włączone,
- zweryfikować konfigurację mechanizmów uwierzytelniania i ograniczyć niestandardowe lub zbędne ścieżki logowania,
- przejrzeć logi dostępu i zdarzeń administracyjnych pod kątem nietypowych prób logowania, błędów autoryzacji i anomalii sesyjnych,
- ograniczyć ekspozycję interfejsów administracyjnych do zaufanych segmentów sieci,
- wdrożyć dodatkowe kontrole kompensacyjne, takie jak MFA, segmentacja sieci, monitoring behawioralny i ścisłe zarządzanie rolami,
- przeprowadzić przegląd uprawnień użytkowników z ograniczonym dostępem, aby zmniejszyć ryzyko wykorzystania błędu CVE-2026-40141.
W środowiskach o podwyższonej krytyczności warto również wykonać testy powłamaniowe i sprawdzić artefakty wskazujące na próbę obejścia kontroli dostępu. Szczególną uwagę należy zwrócić na urządzenia dostępne z sieci zewnętrznych, systemy integrujące z katalogami tożsamości oraz wszelkie niestandardowe polityki logowania.
Podsumowanie
Pakiet poprawek BeyondTrust usuwa dwie krytyczne i dwie wysokie podatności wpływające na produkty RS i PRA. Największe zagrożenie wiąże się z błędami pre-auth umożliwiającymi obejście uwierzytelniania i uzyskanie nieautoryzowanego dostępu do appliance’ów obsługujących zdalne wsparcie oraz dostęp uprzywilejowany. Nawet jeśli nie potwierdzono aktywnego wykorzystania tych luk, ich charakter oraz rola zaatakowanych systemów w infrastrukturze przedsiębiorstw uzasadniają natychmiastowe wdrożenie poprawek i przegląd konfiguracji bezpieczeństwa.
Źródła
- BeyondTrust Patches Critical Auth Bypass Flaws in Remote Support and PRA — https://thehackernews.com/2026/07/beyondtrust-patches-critical-auth.html
- BT26-03 | BeyondTrust — https://www.beyondtrust.com/trust-center/security-advisories/bt26-03
- CVE-2026-40138 — https://www.cve.org/CVERecord?id=CVE-2026-40138
- CVE-2026-40139 — https://www.cve.org/CVERecord?id=CVE-2026-40139
- CVE-2026-40140 — https://www.cve.org/CVERecord?id=CVE-2026-40140