“这次发现像是安全团队挖到了一颗深埋的地雷,触发线就暴露在所有人都能看到的地方,”一位参与漏洞分析的研究人员如此描述。位于访问控制服务核心的BeyondTrust Remote Support和Privileged Remote Access产品,被内部产品安全团队利用人工智能技术找出了数枚致命缺陷。最严重的两个漏洞,CVE-2026-40138和CVE-2026-40139,共通指向一个让人不安的事实:在特定配置下,攻击者不需要拿到任何账号密码,就能绕过整套身份验证系统,直接获取设备控制权。

这份编号BT26-03的安全公告,给出了最高9.2的CVSS v4评分。发现过程并非源于外部事件触发,而是BeyondTrust内部安全团队在持续的安全研究周期中,启动了融合公开模型和自研工具的人工智能漏洞挖掘引擎。这套引擎对远程支持与特权远程访问产品的认证链路进行了逐层扫描,意外揪出了横亘在核心入口的两道裂隙。公告强调,该研究工作独立完成,与任何外部项目无关,其成果的意义在于,让防范者在真实攻击到来之前,先行封堵了从互联网侧直接抵达企业内部系统后门的捷径。

打开网易新闻 查看精彩图片

两道裂隙的构造,都出在身份验证的预认证环节。CVE-2026-40138同时存在于Remote Support和Privileged Remote Access中,根因是认证数据的校验逻辑存在缺陷,导致经过精心构造的访问请求可被当成合法凭证放行。CVE-2026-40139则专攻Remote Support一侧,问题出在认证请求的处理过程上,处理的某个步骤没有正确执行安全过滤,使得异常请求绕过阻拦直接穿透。两者被触发的条件并非虚设场景,只要受影响的系统启用了对应的认证配置,远程攻击者便可在无需与用户进行任何交互的前提下,对暴露在外围的设备发起自动化利用。一旦成功,获得的权限并非低权限账户,而是直接包含高特权角色在内,攻击者随即可以下发指令、窃取会话、甚至横向迁移到更内网的核心资产。

同一批次挖出的还有两枚高严重度弱点。CVE-2026-40140蛰伏在网络通信子系统中,同样是预认证状态下即可触发。攻击者可利用它向服务端投放畸形数据包,耗竭处理资源,造成拒绝服务,将正常运维通道整个掐断。CVE-2026-40141位于网页应用组件内,面向已登录的低权限用户。它源于一处输入校验的失误,使得受限用户能够越界接触到本不该开放的资源路径。这意味着,即使攻击者不能一步到位获取管理员钥匙,仍可先通过社工或其他途径拿到一个普通账号,再配合这个漏洞,从内向外扩展自己的视野和访问范围。

受影响版本圈定在Remote Support与Privileged Remote Access的25.3.2及之前所有发行版。云上用户这边,托管环境在2026年4月21日已完成自动修补,补丁在后台静默部署,平台侧直接豁免了这批客户的暴露窗口。压力落在自建服务侧的组织上,那些将远程支持工具直接放在公网可达位置的节点,风险敞口最为突出。BeyondTrust给出的止血方案直截了当:部署四月安全汇总补丁包,或者将RS和PRA同步升级到25.3.3及以上版本。这一系列更新被确认覆盖了公告中开列的所有已知漏洞,不涉及额外的配置调整。

从攻防视角看,这套漏洞的破坏力在于组合利用的链路极短。无须钓取用户点击、无须等待有人操作客户端,仅凭目标网络可达性和启用中的认证模块,攻击者就能在数秒内完成从探测、突破到权限获取的全流程。掌握高权限后,远程访问工具本身就直接转化为在内网自由穿行的跳板,每一条保存的会话记录、每一个托管端点的密钥,都可能成为二次打击的弹药。对于尚未修补的自建环境,安全团队需要立即将这批补丁的优先级提到最高,并额外排查近期认证日志中是否存在来自不常见地域或未知基础设施的异常请求记录,在攻击者擦除入侵痕迹前,找到可能已经潜入的影子。