Một lỗ hổng nghiêm trọng được theo dõi là CVE-2026-1731 đang bị khai thác tích cực trong thực tế. Lỗ hổng CVE-2026-1731 này cho phép kẻ tấn công giành quyền kiểm soát toàn bộ tên miền trên các hệ thống bị ảnh hưởng. Các tác nhân đe dọa đang tận dụng sai sót này để thực thi các lệnh hệ điều hành từ xa mà không cần xác thực, dẫn đến khả năng remote code execution (RCE) toàn diện.

Phân tích Kỹ thuật Lỗ hổng CVE-2026-1731

Đây là một lỗ hổng nghiêm trọng được phát hiện trong các triển khai BeyondTrust tự lưu trữ. Cụ thể, lỗ hổng CVE-2026-1731 cho phép những kẻ tấn công không xác thực chạy các lệnh hệ điều hành tùy ý.

Điều này được thực hiện thông qua việc gửi các yêu cầu HTTP được tạo đặc biệt tới máy chủ. Các lệnh này được thực thi với đặc quyền của người dùng trang web, tạo điều kiện cho một cuộc tấn công remote code execution có thể leo thang đặc quyền.

Cơ chế Khai thác ban đầu và Tác động

Quá trình khai thác bắt đầu khi kẻ tấn công gửi các yêu cầu HTTP độc hại được thiết kế để vượt qua các cơ chế xác thực hiện có. Khi thành công, các yêu cầu này cho phép thực thi mã tùy ý trên hệ thống mục tiêu. Đây là một điểm xâm nhập cực kỳ nguy hiểm.

Khả năng thực thi mã từ xa này là nền tảng cho việc thiết lập một điểm đứng vững chắc. Nó cũng cho phép các hoạt động leo thang đặc quyền tiếp theo, dẫn đến việc chiếm quyền điều khiển hệ thống hoàn toàn.

Hoạt động Hậu khai thác và Chiếm quyền Kiểm soát Tên miền

Sau khi thiết lập quyền truy cập ban đầu thông qua việc khai thác lỗ hổng CVE-2026-1731, các tác nhân đe dọa thực hiện một chuỗi các bước được phối hợp. Mục tiêu cuối cùng là mở rộng quyền kiểm soát và đạt được quyền quản trị toàn bộ trên môi trường mạng.

Phân tích từ Arctic Wolf đã tiết lộ kẻ tấn công triển khai các tệp nhị phân SimpleHelp Remote Access như một phần quan trọng của hoạt động hậu khai thác.

Triển khai Mã độc và Duy trì Truy cập

Các tệp nhị phân SimpleHelp Remote Access này không được cài đặt thông thường. Chúng được tạo ra thông qua các quy trình BeyondTrust Bomgar đã bị xâm phạm, đang chạy dưới tài khoản SYSTEM.

Việc chạy dưới tài khoản SYSTEM cấp cho mã độc quyền hạn cao nhất trên hệ thống cục bộ. Chúng thường được lưu trữ trong thư mục ProgramData và được đặt tên là remote access.exe.

C:ProgramDataremote access.exe

Sự hiện diện của tệp này là một chỉ báo quan trọng về hệ thống bị xâm nhập. Việc triển khai này cho phép kẻ tấn công duy trì quyền truy cập liên tục, lâu dài và thực hiện các hoạt động điều khiển từ xa một cách không bị phát hiện.

Nâng cao Đặc quyền và Thao túng Active Directory

Để củng cố quyền kiểm soát tên miền, kẻ tấn công đã sử dụng các lệnh CLI tiêu chuẩn của Windows. Các lệnh này được dùng để tạo và sửa đổi các tài khoản miền đặc quyền trong Active Directory. Đặc biệt, các lệnh như net user và net group đã được sử dụng.

Mục tiêu là cấp cho tài khoản mới quyền hạn cao nhất như Enterprise Admin hoặc Domain Admin. Với những quyền này, kẻ tấn công có thể chiếm quyền điều khiển hoàn toàn đối với toàn bộ cơ sở hạ tầng Active Directory, bao gồm người dùng, nhóm, chính sách và máy tính.

net user <username> <password> /add /domain
net group "Enterprise Admins" <username> /add /domain
net group "Domain Admins" <username> /add /domain

Các lệnh trên minh họa cách thức kẻ tấn công tạo một người dùng mới và thêm nó vào các nhóm quản trị viên cấp cao nhất trong miền.

Hoạt động Thăm dò và Phát tán Ngang

Sau khi có quyền truy cập quản trị, hoạt động thăm dò mạng được tăng cường. Chức năng AdsiSearcher đã được thực thi để liệt kê các máy tính Active Directory, thu thập thông tin về cấu trúc và các tài nguyên tiềm năng.

Ngoài ra, các lệnh khám phá mạng phổ biến như net share để tìm các thư mục chia sẻ, ipconfig /all để thu thập thông tin cấu hình mạng chi tiết, và systeminfo để có thông tin hệ thống cục bộ cũng được sử dụng.

Các nhà điều tra của Arctic Wolf đã ghi nhận việc sử dụng PSExec và các yêu cầu thiết lập phiên Impacket SMBv2. Điều này là bằng chứng cho thấy sự phát tán có phối hợp của công cụ SimpleHelp trên nhiều máy chủ trong mạng. Việc này xảy ra sau khi lỗ hổng CVE-2026-1731 đã bị khai thác ban đầu. Điều này cho phép kẻ tấn công mở rộng phạm vi tấn công từ một điểm xâm nhập duy nhất.

Để có cái nhìn sâu hơn về phân tích chuỗi tấn công này, độc giả có thể tham khảo báo cáo của Arctic Wolf.

Biện pháp Khắc phục và Cập nhật Bản vá Bảo mật Thiết yếu

Trước nguy cơ từ lỗ hổng CVE-2026-1731, các chuyên gia bảo mật đặc biệt khuyến nghị vá tất cả các phiên bản dễ bị tấn công ngay lập tức. Đây là hành động tối quan trọng để ngăn chặn remote code execution và các hậu quả nghiêm trọng khác.

Điều quan trọng cần lưu ý là tất cả khách hàng BeyondTrust dựa trên đám mây đã được bảo vệ tự động kể từ ngày 2 tháng 2 năm 2026. Điều này do các nhà cung cấp dịch vụ đã tự động áp dụng các bản vá bảo mật.

Tuy nhiên, các khách hàng có triển khai tự lưu trữ (self-hosted) phải áp dụng các bản vá bảo mật thủ công. Việc này là bắt buộc để giảm thiểu rủi ro khai thác từ lỗ hổng CVE-2026-1731 và bảo vệ hệ thống bị xâm nhập tiềm tàng.

Hướng dẫn Cập nhật từ CISA về Lỗ hổng CVE

CISA đã đưa ra cảnh báo CVE và khuyến cáo rõ ràng. Các triển khai tự lưu trữ đang chạy các phiên bản BeyondTrust Remote Support (RS) cũ hơn RS 21.3 hoặc Privileged Remote Access (PRA) cũ hơn PRA 22.1 phải được nâng cấp trước khi áp dụng bản vá.

Việc bỏ qua bước nâng cấp sơ bộ này có thể dẫn đến việc bản vá không được áp dụng đúng cách hoặc không hiệu quả, khiến hệ thống vẫn dễ bị tổn thương trước lỗ hổng CVE-2026-1731. Các tổ chức nên theo dõi các cảnh báo CVE từ CISA.

Chi tiết về cảnh báo CVE này và các khuyến nghị khắc phục có thể được tìm thấy tại CISA Known Exploited Vulnerabilities Catalog.

Chỉ báo về Sự xâm nhập (IOCs) và Khuyến nghị Giám sát An ninh

Để phát hiện và ứng phó kịp thời với các cuộc tấn công khai thác lỗ hổng CVE-2026-1731, quản trị viên nên thực hiện kiểm tra kỹ lưỡng các hệ thống. Việc giám sát chủ động là cần thiết để xác định các dấu hiệu của hệ thống bị xâm nhập.

Các chỉ báo về sự xâm nhập (IOCs) cần chú ý bao gồm:

• Sự hiện diện của các tệp nhị phân SimpleHelp trái phép, đặc biệt là trong thư mục C:ProgramData. Bất kỳ tệp thực thi nào có tên remote access.exe hoặc tên tương tự không được ủy quyền đều đáng ngờ.
• Sự tồn tại của các tài khoản quản trị viên đáng ngờ hoặc mới được tạo trong Active Directory mà không có ủy quyền rõ ràng. Kiểm tra nhật ký tạo tài khoản người dùng và nhóm.
• Lưu lượng mạng bất thường liên quan đến các phiên SMB, đặc biệt là từ các máy chủ không xác định hoặc không được phép. Giám sát các kết nối SMB ra/vào và hoạt động file sharing bất thường.

Việc giám sát liên tục, phân tích nhật ký hệ thống, và chủ động ứng phó với các cảnh báo an ninh mạng là các bước thiết yếu để bảo vệ khỏi các mối đe dọa khai thác lỗ hổng CVE-2026-1731.