تزايدت المؤشرات على استغلال فعلي لثغرة أمنية وصفت بالحرجة في منتجات شركة BeyondTrust المتخصصة في حلول الدعم والوصول عن بعد، وذلك بعد أيام قليلة من صدور تحذيرات رسمية وظهور أدوات اختبار علنية. ورصدت منصات تتبع التهديدات السيبرانية عمليات مسح واسعة النطاق ومحاولات استغلال محدودة استهدفت الخوادم المكشوفة على شبكة الإنترنت التي لم تعتمد التحديثات الأمنية اللازمة حتى الآن.
وتكشف تفاصيل الثغرة المسجلة تحت الرقم المرجعي CVE-2026-1731 عن وجود خلل من نوع حقن الأوامر في نظام التشغيل (OS Command Injection). يتيح هذا الخلل للمهاجمين تنفيذ أوامر برمجية عن بعد دون الحاجة إلى صلاحيات دخول أو تفاعل المستخدم. ويشمل الأثر خوادم الدعم عن بعد Remote Support (RS) وإصدارات محددة من أنظمة الوصول المتميز Remote Access (PRA).
من إثبات المفهوم إلى الاستهداف المباشر
شهد الملف تطوراً متسارعاً؛ ففي العاشر من فبراير 2026، نشر باحثون تحليلاً تقنياً مرفقاً بإثبات المفهوم (PoC)، ما أدى لاحقاً إلى موجة استطلاع واسعة من قبل جهات مهاجمة.
وأوضح تقرير لشركة watchTowr وجود نمط استغلال يعتمد على إساءة استخدام وظيفة تقنية تسمى get_portal_info لاستخراج بيانات معينة قبل إنشاء قناة اتصال مشفرة عبر بروتوكول WebSocket. كما أشارت شركة Defused إلى رصد استغلالات تستند إلى نصوص برمجية جاهزة ضمن أداة Nuclei الشهيرة في عمليات المسح الأمني.
من جهتها، أفادت منصة GreyNoise بأن نشاط المسح والاستطلاع قفز بشكل ملحوظ ابتداء من 11 فبراير، مع ملاحظة تركيز المهاجمين على منافذ اتصال غير افتراضية بدلاً من المنفذ القياسي (443). ويعكس هذا التوجه محاولة المهاجمين الوصول إلى المؤسسات التي تظن أن تغيير أرقام المنافذ قد يساهم في إخفاء أنظمتها عن أعين المتسللين.
صلة وثيقة بحوادث سابقة
تكتسب هذه الثغرة حساسية مضاعفة نظراً لوجود تشابه تقني بينها وبين ثغرة سابقة (CVE-2024-12356) استغلت في أواخر عام 2024 في حادثة اختراق استهدفت وزارة الخزانة الأميركية. ويرى خبراء أن الثغرة الجديدة تمثل مساراً مختلفاً للوصول إلى نفس نقطة الضعف السابقة داخل بروتوكول الاتصال WebSocket، ما يشير إلى استمرار ملاحقة المهاجمين لنفس الثغرات الهيكلية في هذه الأنظمة.
موقف الشركة والنسخ المتأثرة
أعلنت BeyondTrust أنها عالجت الثغرة لعملائها في السحابة (SaaS) منذ الثاني من فبراير. ودعت العملاء الذين يديرون خوادمهم ذاتياً إلى إجراء التحديث اليدوي الفوري في حال كانت ميزة التحديث التلقائي غير مفعلة.
وذكرت الشركة أنها تتابع عدداً محدوداً من العملاء الذين تعرضوا لمحاولات استغلال نشطة، مؤكدة أن الأنشطة المرصودة اقتصرت على البيئات المكشوفة للإنترنت التي تأخرت في تطبيق التصحيح لما بعد 9 فبراير. وتشمل النسخ المتأثرة:
- Remote Support: الإصدار 25.3.1 وما قبله.
- Privileged Remote Access: الإصدار 24.3.4 وما قبله.
ويتطلب الإصلاح الترقية إلى الإصدارات RS 25.3.2 وPRA 25.1.1 أو ما يليهما.
محاولات ترسيخ الاختراق
في تطور أمني رصدته شركة Arctic Wolf في 13 فبراير، تبين أن المهاجمين لا يكتفون بالاختراق، بل يسعون لنشر أدوات إدارة إضافية مثل SimpleHelp RMM لضمان “الاستمرارية” (Persistence) داخل الشبكة حتى بعد إغلاق الثغرة. كما رصدت شركة Darktrace أنماطاً سلوكية غير معتادة تشير إلى محاولات “حركة جانبية”، وهي محاولة المهاجم التنقل من الخادم المخترق إلى أجهزة أخرى داخل المؤسسة.
