كشفت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) عن تطور خطير في طبيعة المخاطر المحيطة بثغرة حرجة تضرب منتجات شركة BeyondTrust، حيث أدرجت الوكالة هذه الثغرة ضمن قائمة الثغرات المستغلة المعروفة (KEV)، مع تحديث سجلها لاحقاً ليشير بوضوح إلى ارتباط عمليات الاستغلال بحملات الفدية المنظمة. وينقل هذا التحديث الثغرة من دائرة الاستغلال العشوائي إلى نطاق الابتزاز الرقمي الممنهج، الذي يتضمن عادة تشفير البيانات الحساسة وتهديد المؤسسات بتسريبها أو تعطيل الخدمات الحيوية بالكامل، ما يرفع الأولوية التشغيلية للتعامل مع هذا التهديد بشكل فوري.
تحمل الثغرة المعرف الرقمي CVE-2026-1731، وتؤثر بشكل مباشر في منصتي BeyondTrust Remote Support RS وBeyondTrust Privileged Remote Access PRA. ويصنف الخلل الفني ضمن فئة حقن أوامر نظام التشغيل، وهي ثغرة تمنح المهاجم القدرة على تنفيذ أوامر برمجية عن بُعد قبل مرحلة تسجيل الدخول ودون الحاجة إلى مصادقة أو تفاعل من قبل المستخدم. واستناداً إلى معيار CVSS v4 العالمي لقياس خطورة الثغرات، حازت هذه الثغرة على درجة خطورة مرتفعة جداً بلغت 9.9 من 10.
مسار التصعيد الزمني ومراحل الاستغلال
تلاحقت الأحداث المحيطة بالثغرة خلال أيام قليلة بدأت في الثاني من فبراير 2026، حين باشرت شركة BeyondTrust بمعالجة الثغرة تلقائياً في بيئات SaaS المتصلة بخدمة التحديث، بينما ظلت البيئات ذاتية الاستضافة بحاجة إلى تدخل يدوي. وفي السادس من فبراير، أصدرت الشركة النشرة الأمنية BT26-02 وصنفت الثغرة بأنها حرجة، موضحة أن التنفيذ يتم بصلاحيات حساب تشغيلي، وهو مستوى يتيح للمهاجم موطئ قدم كافٍ لبدء عمليات التوسع الداخلي وجمع البيانات الحساسة داخل الشبكة المستهدفة.
شهد العاشر من فبراير وما تلاه رصد مؤشرات على محاولات استغلال فعلية ضد الأنظمة المكشوفة على الإنترنت، وتزامن ذلك مع ظهور كود PoC متاح للعلن، وهو ما يسرع عادة من وتيرة الاستهداف. وبلغ التصعيد ذروته في الثالث عشر من فبراير حين أعلنت وكالة CISA إضافة الثغرة رسمياً إلى سجل KEV، وهو إجراء عملي يفرض ضغوطاً على الجهات لتحديث أنظمتها ضمن مهلة قصيرة.
وقد أشارت تقارير متخصصة لاحقاً إلى تحديث سجل KEV لبيان استخدام الثغرة في حملات الفدية، وهو تفصيل حيوي يعيد توصيف المخاطر الأمنية المرتبطة بهذا الخلل.
الآلية الفنية ومخاطر ما بعد الاختراق
تعتمد عملية الاختراق فنياً على إرسال طلبات رقمية مصممة بعناية إلى خدمات المنصة، ثم تمرير قيمة خبيثة تؤدي إلى حقن أوامر مباشرة في نظام التشغيل. وبما أن الاستغلال يسبق عملية تسجيل الدخول، فإن أي بوابة RS أو PRA مكشوفة وغير محدثة تتحول إلى نقطة دخول مباشرة للمخترقين. ووفقاً لبيانات مختبرات Unit 42، لم يتوقف نشاط المهاجمين عند الاختراق الأولي، بل ظهرت سلوكيات تمهد لمرحلة الفدية، تشمل إنشاء حسابات Domain Accounts وحسابات مدير محلي، وتركيب أدوات إدارة عن بُعد بهدف الاستطلاع، ونشر أبواب خلفية وWeb Shell لضمان تحكم مستمر، بالإضافة إلى استخدام أدوات نفق لتمرير الحركة وتفادي الرصد.
تشمل قائمة الإصدارات المتأثرة نظام Remote Support حتى الإصدار 25.3.1 وما قبله، ونظام Privileged Remote Access حتى الإصدار 24.3.4 وما قبله. وتوصي الشركة بالتحديث الفوري إلى الإصدارات RS 25.3.2 وPRA 25.1.1 أو ما يليها من نسخ أحدث. وتكتسب هذه الأدوات أهمية استثنائية كونها تستخدم للوصول إلى أصول عالية القيمة، واختراقها يمنح المهاجم قناة تتقاطع مع صلاحيات الإدارة والدعم الفني، ما يختصر عليه مراحل طويلة من الهجوم التقليدي للوصول إلى قلب الشبكة الداخلية.
