Umgehung der Authentifizierung Beyondtrust RS und PRA erneut gefährdet

Von Melanie Staudacher 2 min Lesedauer

Anbieter zum Thema

Beyondtrust schließt vier Schwachstellen in Remote Support und Privileged Remote Access. Beide Tools wurden in der Vergangenheit bereits für Angriffe missbraucht, schnelles Patchen ist ratsam.

Die Schwachstellen in den Remote-Tools von Beyondtrust ermöglichen es Angreifern, die Authentifizierung zu umgehen und sich unbefugt Zugriff bis hin zur vollständigen Systemübernahme zu verschaffen.(Bild:  Gemini / Vogel IT-Medien GmbH / KI-generiert)
Die Schwachstellen in den Remote-Tools von Beyondtrust ermöglichen es Angreifern, die Authentifizierung zu umgehen und sich unbefugt Zugriff bis hin zur vollständigen Systemübernahme zu verschaffen.
(Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)

Beyondtrust hat ein Sicherheitsupdate veröffentlicht, das Patches für vier Schwachstellen enthält, von denen zwei kritisch sind. Diese beruhen auf einer unsachgemäßen Authen­tifizierung, die es Angreifern ermöglichen können, die Authentifizerung von Beyondtrust Remote Support (RS) und Privileged Remote Access (PRA) zu umgehen und die Kontrolle über anfällige Geräte zu übernehmen.

Systemübernahme, Fremdzugriffe und DoS

Die vier Schwachstellen sind folgende:

  • EUVD-2026-41886 / CVE-2026-40138 (CVSS-Score 9.2, EPSS-Score* 0.42): Diese Schwachstelle tritt schon vor dem Authentifizierungsprozess von Remote Support und Privileged Remote Access auf. Aufgrund einer fehlerhaften Validierung von Authen­ti­fizierungsdaten können Angreifer im Netzwerk Zugriffskontrollen umgehen und unbefugten Zugriff auf die Appliance erlangen, einschließlich Konten mit erweiterten Berechtigungen. Der Hersteller weist darauf hin, dass die erfolgreiche Ausnutzung davon abhängt, ob eine bestimmte Authentifizierungskonfiguration aktiviert ist. Diese wird allerdings nicht genauer beschrieben.
  • EUVD-2026-41887 / CVE-2026-40139 (CVSS-Score 9.2, EPSS-Score 0.65): Wie auch EUVD-2026-41886 / CVE-2026-40138 ermöglicht es diese Schwachstelle einem nicht authentifizierten Remote-Angreifer, Zugriffskontrollen zu umgehen und unbefugten Zugriff auf die Appliance zu erlangen. Auch Konten mit erweiterten Berechtigungen sind betroffen. Auch hier hängt die Ausnutzung von einer bestimmten, nicht genauer definierten Konfiguration ab.
  • EUVD-2026-41888 / CVE-2026-40140 (CVSS-Score 8.7, EPSS-Score 0.56): Auch diese Schwachstelle ist durch unzureichende Validierung verursacht, allerdings von clientseitigen Eingaben. Dies könnte es einem nicht authentifizierten Remote-Angreifer ermöglichen, einen Denial-of-Service-Zustand (DoS) auszulösen und so die Verfügbarkeit der Appliance zu beeinträchtigen.
  • EUVD-2026-41889 / CVE-2026-40141 (CVSS-Score 8.5, EPSS-Score 0.48): Diese Sicherheitslücke in einer Webanwendungskomponente von RS und PRA ist durch unzureichende Validierung von benutzerspezifischen Eingaben verursacht. Dies könnte es einem authentifizierten Angreifer mit eingeschränkten Berechtigungen ermöglichen, auf nicht vorgesehene Ressourcen oder Daten zuzugreifen, die außerhalb seines Autorisierungsbereichs liegen.

Cloud-Kunden von Beyondtrust haben den Patch automatisiert eingespielt bekommen. Kunden mit Self-Hostet-Systemen sollten den Sicherheits-Rollup-Patch vom April für die betroffene Version installieren oder ein Upgrade auf RS 25.3.3 oder neuer beziehungsweise PRA 25.3.3 oder neuer durchführen. Derzeit gelten die Sicherheitslücken als nicht aktiv ausgenutzt. Doch in der Vergangenheit wurden beide Remote-Tools mithilfe anderer kritischer Sicherheitslücken – EUVD-2026-5559 / CVE-2026-1731 (CVSS-Score 9.9, EPSS-Score 86.09) und EUVD-2024-50801 / CVE-2024-12356 (CVSS-Score 9.8, EPSS-Score 87.99) – bereits für Angriffe missbraucht. Daher ist es ratsam für Nutzer, die Patches zeitnah zu installieren.

* Hinweis zum EPSS-Score: Das Exploit Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Der ent­sprechende Score kann sich im Laufe der Zeit verändern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Veröffentlichung des Artikels.

(ID:50894335)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung