BeyondTrust heeft updates uitgebracht om twee kritieke beveiligingsproblemen aan te pakken die van invloed zijn op Remote Support (RS) en Privileged Remote Access (PRA) producten die, indien succesvol misbruikt, niet-geverifieerde aanvallers in staat zouden kunnen stellen de controle over gevoelige apparaten over te nemen.
De kwetsbaarheden worden hieronder vermeld:
- CVE-2026-40138 (CVSS-score: 9,2) – Er bestaat een pre-authenticatiekwetsbaarheid in het authenticatiesubsysteem van BeyondTrust Remote Support en Privileged Remote Access als gevolg van onjuiste validatie van authenticatiegegevens waardoor een op het netwerk gepositioneerde aanvaller toegangscontroles kan omzeilen en ongeoorloofde toegang tot het apparaat kan verkrijgen, inclusief accounts met verhoogde rechten.
- CVE-2026-40139 (CVSS-score: 9,2) – Er bestaat een pre-authenticatiekwetsbaarheid in het authenticatiesubsysteem van BeyondTrust Remote Support als gevolg van onjuiste verwerking van authenticatieverzoeken waardoor een niet-geverifieerde externe aanvaller toegangscontroles kan omzeilen en ongeautoriseerde toegang kan krijgen tot het apparaat, inclusief accounts met verhoogde rechten.
- CVE-2026-40140 (CVSS-score: 8,7) – Een pre-authenticatiekwetsbaarheid in het netwerkcommunicatiesubsysteem die voortkomt uit onvoldoende validatie van door de client geleverde invoer waardoor een niet-geverifieerde externe aanvaller een denial-of-service-toestand kan activeren, waardoor de beschikbaarheid van het apparaat wordt beïnvloed.
- CVE-2026-40141 (CVSS-score: 8,5) – Er bestaat een kwetsbaarheid in een webapplicatiecomponent van BeyondTrust Remote Support en Privileged Remote Access die voortkomt uit onvoldoende validatie van door de gebruiker aangeleverde invoer waardoor een geverifieerde aanvaller met beperkte rechten toegang zou kunnen krijgen tot onbedoelde bronnen of gegevens buiten het autorisatiebereik.
Het is vermeldenswaard dat de succesvolle exploitatie van CVE-2026-40138 en CVE-2026-40139 afhangt van het inschakelen van een specifieke authenticatieconfiguratie. In het geval van CVE-2026-40141 is exploitatie, mocht deze plaatsvinden, beperkt tot accounts met specifieke machtigingen.
BeyondTrust zei dat alle geïdentificeerde zaken intern zijn geïdentificeerd als onderdeel van lopende veiligheidsbeoordelingen, met hulp van openbaar beschikbare kunstmatige intelligentie (AI)-modellen zoals Anthropic Claude Opus 4.8 en zijn eigen gepatenteerde onderzoekstools.
“Door de ernstigste kwetsbaarheden kan een niet-geverifieerde externe aanvaller de toegangscontroles omzeilen en ongeautoriseerde toegang krijgen tot het apparaat onder specifieke configuraties”, aldus het rapport. “Extra kwetsbaarheden kunnen verstoring van de dienstverlening, onbedoelde gegevenstoegang en, onder verschillende configuraties, verhoogde toegang door een geverifieerde gebruiker mogelijk maken, wat de systeemintegriteit kan aantasten.”
De problemen zijn verholpen in de volgende versies:
- Ondersteuning op afstand RS 25.3.2 of lager (opgelost in RS 25.3.3 en hoger)
- Privileged Remote Access PRA 25.3.2 of lager (opgelost in PRA 25.3.3 en hoger)
BeyondTrust maakt geen melding van de kwetsbaarheden die in het wild worden uitgebuit. Beveiligingsfouten in RS- en PRA-producten (CVE-2024-12356 en CVE-2026-1731) zijn in het verleden echter herhaaldelijk uitgebuit om webshells en backdoors in te zetten, waardoor het essentieel is dat gebruikers snel actie ondernemen om de oplossingen toe te passen.