BeyondTrustの脆弱性、PoC公開から24時間以内に悪用開始（CVE-2026-1731）

nosa

2026.02.16

BeyondTrustの脆弱性、PoC公開から24時間以内の悪用が確認される（CVE-2026-1731）

SecurityWeek – February 13, 2026

特権管理アクセスプラットフォームBeyondTrustの製品に存在する重大な脆弱性が、PoC（概念実証）エクスプロイトの公開直後から脅威アクターに悪用されているという。

この脆弱性はCVE-2026-1731として追跡されており、BeyondTrustのRemote Support（RS）とPrivileged Remote Access（PRA）に影響を与える。未認証の攻撃者が細工されたリクエストを使ってリモートで任意のコードを実行できるバグと説明され、2月6日にはパッチがリリースされていた。この欠陥を発見したHacktron AIの研究者も同日、ネットに露出したインスタンスが約1万1,000件あり、攻撃に対して脆弱な可能性のあるオンプレミス環境が約8,500件あると警告していた。

CVE-2026-1731のPoCエクスプロイトは、その4日後の2月10日に公開された。脅威インテリジェンス企業GreyNoiseは、それから24時間以内に攻撃の試みを観測。同社は複数のIPアドレスから攻撃が行われていることを確認したものの、偵察活動の86％は1件のIPアドレスを起源としていたようだ。

このIPアドレスは「フランクフルトのプロバイダーがホストする商用VPNサービス」に関連付けられ、GreyNoiseのデータでは「2023年からアクティブなスキャナーとして機能している」とのこと。またこれらのIPアドレスの一部から、SonicWall・MOVEit・Apache・Sophos各製品に存在する脆弱性の悪用や、ブルートフォース攻撃とデフォルトの認証情報を用いたシステムへのアクセスが試行されていたことも明らかにされている。

BeyondTrust製品の脆弱性は国家支援型アクターなどに悪用されており、2024年後半には中国系APTのSilk Typhoonが米財務省への攻撃で使用したと報じられている。

Ivanti製品の脆弱性を狙ったRCE攻撃、83％は単一の脅威アクターによる犯行か（CVE-2026-1281、CVE-2026-1340）

BleepingComputer – February 14, 2026

Ivanti製Endpoint Manager Mobile（EPMM）に存在する2件の重大な脆弱性（CVE-2026-1281とCVE-2026-1340）を悪用する試みの大部分は、単一の脅威アクターによって行われているようだ。

これらの欠陥は未認証の攻撃者にリモートでのコード実行を許す可能性があるもので、いずれも深刻度が「重大」と評価されている。ゼロデイ攻撃での悪用が報告され、Ivantiから修正プログラムもリリースされている。

GreyNoiseの調査によると、この2件の脆弱性に関連するエクスプロイト活動の83％以上は、防弾インフラPROSPERO OOO （AS200593）上にホストされた単一のIPアドレス「193[.]24[.]123[.]42」によるものだったという。また、このIPはIvantiを標的とした攻撃のみならず、さらに3件の脆弱性（Oracle WebLogicのCVE-2026-21962、GNU Inetutils TelnetdのCVE-2026-24061、GLPIのCVE-2025-24799）を同時に悪用していたとされる。

ただ、GreyNoiseの研究者らはこのIPアドレスが「広く公開されているIoCリストには掲載されていない」と指摘。公開されたインジケーターしかブロックしていない防御担当者は「最も優勢な攻撃源を見逃してしまっている可能性が高い」と注意を呼びかけた。

なお、IvantiによるCVE-2026-1281およびCVE-2026-1340への修正は暫定措置に過ぎず、今年第1四半期にEPMMバージョン12.8.0.0のリリースに合わせて完全なパッチがリリースされる予定。それまでEPMMバージョン12.5.0.x、12.6.0.x、12.7.0.xにはRPMパッケージ12.x.0.xを、バージョン12.5.1.0および12.6.1.0にはRPMパッケージ12.x.1.xを使用することが推奨されている。