Зловмисники почали активно експлуатувати критичну вразливість CVE-2026-1731 (CVSS 9.9) у продуктах BeyondTrust Remote Support і Privileged Remote Access. Баг дозволяє неавтентифікованому атакувальнику виконати довільний код від імені користувача сайту. Паралельно CISA додала ще чотири активно експлуатовані вразливості до каталогу KEV, серед яких проблеми в Apple, Notepad++, SolarWinds і Microsoft Configuration Manager.
За даними дослідників watchTowr, перші атаки «в дикій природі» зафіксовано майже одразу після публічного розкриття CVE-2026-1731. Атакувальники використовують функцію get_portal_info для отримання значення x-ns-company, після чого встановлюють WebSocket-з’єднання та переходять до подальшої експлуатації.
Уразливість дозволяє віддалене виконання команд операційної системи без автентифікації. Наслідки — несанкціонований доступ, витік даних і порушення роботи сервісів. BeyondTrust випустила патчі:
Remote Support — Patch BT26-02-RS, версія 25.3.2 і новіші
Privileged Remote Access — Patch BT26-02-PRA, версія 25.1.1 і новіші
Паралельно CISA розширила каталог Known Exploited Vulnerabilities (KEV), додавши:
CVE-2026-20700 — memory buffer issue в Apple (можливість виконання довільного коду)
CVE-2025-15556 — компрометація механізму оновлень Notepad++
CVE-2025-40536 — обхід контролів безпеки в SolarWinds Web Help Desk
CVE-2024-43468 — SQL-інʼєкція в Microsoft Configuration Manager
Особливо показовим став кейс Notepad++, де, за даними Rapid7 і DomainTools, зловмисники використали ланцюг постачання для вибіркової доставки троянізованих інсталяторів. Атака приписується китайському угрупованню Lotus Blossom і тривала близько п’яти місяців. Замість масового зараження атакувальники діяли точково, націлюючись на стратегічно важливі організації.
Apple також підтвердила, що CVE-2026-20700 могла використовуватись у високоточних атаках проти окремих осіб, потенційно для доставки комерційного шпигунського ПЗ.
Каталог KEV містить уразливості, для яких існують підтверджені випадки активної експлуатації. Федеральні агентства США зобов’язані усувати їх у визначені строки, що підкреслює критичність ризику. Поточна хвиля інцидентів демонструє, що часовий проміжок між публікацією вразливості та її використанням зловмисниками практично зникає. В умовах автоматизованих експлойтів і моніторингу релізів патчів «вікно захисту» вимірюється днями, а інколи годинами.
CVE-2026-1731 у BeyondTrust та нові записи в KEV — чергове підтвердження: критичні баги сьогодні майже миттєво перетворюються на реальні атаки. Організаціям варто не лише встановити патчі, а й перевірити журнали доступу, обмежити зовнішню експозицію сервісів та посилити моніторинг аномальної активності. Швидкість реагування тепер — ключовий фактор виживання.
