
BeyondTrust RS/PRA 四個高危漏洞:自建遠端支援系統要即補 25.3.3
雲端版已補,自建版要查版本、入口同 log
發生咩事
BeyondTrust 今次補嘅唔係普通用戶端 bug,而係 Remote Support(RS)同 Privileged Remote Access(PRA)呢類遠端管理入口。官方 BT26-03 列出四個漏洞,兩個屬 Critical、兩個屬 High,影響 RS 25.3.2 或以下同 PRA 25.3.2 或以下。最麻煩嗰兩個係身份驗證問題:喺特定設定開咗嘅情況下,攻擊者有機會繞過存取控制,摸到 appliance 入面高權限帳戶。

圖片:BeyondTrust Documentation
點解遠端支援工具特別要緊
RS/PRA 呢類工具本身就係 IT 部門同 MSP 用嚟入 server、桌面機、雲端環境同供應商 session 嘅控制台,通常仲會接 credential vault、session recording、Jump Client、SAML/LDAP 呢啲企業身份系統。BeyondTrust 自己嘅 on-prem 文件都建議將 B Series Appliance 放喺 DMZ,對外接 internet、對內接公司 LAN/WAN;呢個位一出事,影響好容易超出單一 app。
今次四個洞點分
兩個 9.2 分漏洞要分開睇。CVE-2026-40138 影響 RS 同 PRA,官方描述係驗證資料檢查唔夠嚴,攻擊者要喺可接觸目標 appliance 嘅位置;CVE-2026-40139 就集中喺 RS 身份驗證 request 處理,未登入嘅遠端攻擊者喺特定設定下都有機會打。其餘兩個就係 CVE-2026-40140 嘅 DoS 風險,同 CVE-2026-40141 嘅已登入低權限帳戶越界讀資料或資源風險。
時間線有個重點
iThome 報道指出,呢次披露時間有少少落差:BeyondTrust 話雲端客戶喺 2026 年 4 月 21 日已經補好,BT26-03 公告頁 issue date 寫 2026 年 6 月 21 日,而官方 advisory 列表同 CVE/NVD 公開日期就係 2026 年 7 月 6 日。合理解讀係廠商先補可控環境再公開;問題係自建版永遠有滯後,尤其公司以為 vendor 負責晒 patch,就好易漏咗 appliance 自己管理。
暫時未見今次已遭利用
官方 BT26-03 講明,呢批漏洞係內部研究搵到,用咗公開 AI 模型同自家工具輔助,修補前冇證據顯示外界已知或已利用;CISA ADP 喺 CVE 記錄入面亦暫時標示 exploitation:none。要分清楚,呢句唔代表產品線冇攻擊歷史:二月嘅 CVE-2026-1731 係同 RS/PRA 有關嘅 pre-auth RCE,BeyondTrust 後來確認,部分自建、對外開放、未補嘅環境出現攻擊嘗試,CISA 亦放咗入 KEV。
BleepingComputer 另外引述 Shadowserver 數字,話網上可見接近 2,000 個 RS/PRA instance,但未知入面幾多係 honeypot 或已補。呢個數唔適合當成受害規模,不過已經夠提醒 admin:只要 appliance 直接掛喺 internet,攻擊者就可以自動掃版本、等 PoC 或逆向 patch。
自建版 admin 今日要做嘅事
確認版本同 patch:喺 RS/PRA appliance 管理介面核對版本,RS 25.3.2 或以下、PRA 25.3.2 或以下都要補 April Security Rollup,或者直接升到 25.3.3 以上;有 HA/cluster 就逐部確認,唔好只睇其中一個 node。
收窄入口:如果 appliance 有管理 portal、support portal 或 API 直接喺 internet 可達,先用 firewall、VPN、零信任 proxy 或 allowlist 收返到管理同支援來源;未補之前,唔好靠「特定設定先中」呢句做藉口。
查身份同 session log:睇 4 月 21 日至升級完成期間有冇異常登入、未知來源嘅 session、權限突然變更、support rep 帳戶重設、API token 新增;如果有舊版長期外露,建議輪換高權限密碼同相關 token。
同 MSP/供應商對清責任:好多中小企其實交畀 IT outsourcing 或 MSP 代管,自己未必每日入去睇版本。合約入面邊個負責 BeyondTrust appliance patch、幾耐內要補、補完點證明,要而家講清楚,唔好等出事先搵人。
睇法
今次值得記住:遠端支援同特權存取工具已經變成企業 IT 嘅高價值入口,CVSS 分數只係提醒你唔好拖。雲端版有廠商幫手補,自建版就睇公司補 patch 夠唔夠快,同有冇管好對外入口;用緊 RS/PRA 嘅公司,今日最實際就係核版本、補 25.3.3、收窄入口、睇 log。
參考來源
- iThome — BeyondTrust修補遠端支援與存取產品RS與PRA重大漏洞,未更新可能導致繞過存取控制與權限提升 — original report
- BeyondTrust BT26-03 Security Advisory — 官方公告,核對 CVE、CVSS、受影響版本、雲端修補日期同自建版補救方法。
- BeyondTrust Security Advisories — 確認 BT26-03 喺官方公告列表入面嘅公開日期同評級。
- NVD: CVE-2026-40138 — 核對 authentication bypass 漏洞描述、評分同受影響版本。
- NVD: CVE-2026-40139 — 核對 RS 身份驗證處理漏洞同 NVD/CNA 分數。
- BleepingComputer: BeyondTrust warns of critical flaws in remote access software — 補充 Shadowserver 外露 instance 背景,同確認未見今次漏洞已遭利用嘅報道。
- BeyondTrust BT26-02 Security Advisory — 作背景對照:同一產品線二月嘅 CVE-2026-1731 曾有自建環境攻擊嘗試。
- BeyondTrust Docs: B Series Appliance on-premises security — 補充 RS appliance on-prem 部署、DMZ、session logging 同 Vault 背景。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







