Bomgar RMM 漏洞助长勒索软件和供应链攻击

执行摘要

BeyondTrust的Bomgar远程监控和管理（RMM）工具中存在一个关键的远程代码执行漏洞，跟踪编号为CVE-2026-1731，目前正在被积极利用。威胁行为者利用这个漏洞部署勒索软件，并在IT服务提供商内部建立据点，利用他们受信任的访问权限对客户网络发起下游攻击，这是一种典型的供应链攻击。

技术分析

漏洞CVE-2026-1731的CVSS基础得分为9.8。根据Dark Reading的报道，这是一个Bomgar RMM软件中的关键漏洞，允许未经身份验证的远程代码执行。成功的利用可以让攻击者以Bomgar服务在宿主系统上的权限执行任意代码。这种高级别的访问权限是RMM工具固有的，这些工具被设计用于对端点和服务器进行特权管理控制。源报告表明，该漏洞被用于促进勒索软件的传播，尽管涉及的具体勒索软件家族并未被命名。攻击链展示了一个被入侵的RMM服务器如何作为一个支点，连接到所有被管理的端点。

入侵指标

源材料中未识别出任何入侵指标。

战术、技术与程序

主要的战术、技术与程序（TTP）涉及利用CVE-2026-1731获得对Bomgar RMM服务器的初始访问权限。从这个滩头阵地出发，攻击者可以利用受信任的RMM工具的功能进行横向移动（T1210），利用其现有的权限和连接在被管理的环境中部署有效载荷。这构成了一种软件供应链攻击（T1195.002），其中对一个受信任的IT管理工具的入侵被用来入侵其用户的环境。据报道，最终目标是部署勒索软件（T1486）。

威胁行为者背景

源材料没有将这次利用活动归因于一个命名的威胁行为者或团体。该活动的特征是其目标——勒索软件部署和供应链攻击——而不是特定行为者的签名。在一个广泛部署的企业IT管理工具中使用一个关键漏洞表明，可能是出于财务动机的行为者参与其中，尽管国家支持的团体也可能利用这种访问权限进行间谍活动。

缓解措施与建议

BeyondTrust已经发布了CVE-2026-1731的补丁。主要和立即的缓解措施是将供应商提供的安全更新应用于所有受影响的Bomgar RMM软件实例。组织，特别是使用Bomgar的管理服务提供商（MSP）和IT团队，应该将此视为一个关键的优先事项。此外，组织应该审查Bomgar服务器上的访问日志和认证事件，以查找可能表明之前被入侵的任何异常活动。将RMM管理网络与核心生产网络隔离开来可以帮助限制成功利用的破坏范围。