Vulnérabilité Critique dans BeyondTrust Remote Support et Privileged Remote Access
.png)
Produits concernés
• BeyondTrust Remote Support (RS) version 25.3.2 et antérieures
• BeyondTrust Privileged Remote Access (PRA) version 25.3.2 et antérieures
Prérequis
• Accès réseau à l'appliance RS/PRA exposée
• Une configuration d'authentification spécifique active sur l'appliance (Pas de précision éditeur à ce sujet)
Risques
• Exécution de code arbitraire
• Accès au réseau interne de l’entreprise
• Exfiltration de données
Résumé
Deux vulnérabilités critiques de type "Contournement d'authentification" affectant BeyondTrust Remote Support et Privileged Remote Access ont été publiées par l'éditeur le 6 juillet 2026, dans l'advisory BT26-03.
Le niveau de criticité de ces deux vulnérabilités est de 9.2 (score CVSSv4).
• CVE-2026-40139 : Une vulnérabilité dans le sous-système d'authentification de RS, causée par un traitement défaillant des requêtes d'authentification, pourrait permettre à un attaquant distant non authentifié de contourner entièrement les contrôles d'accès. L'attaquant n'a pas besoin d'identifiants valides pour exploiter cette vulnérabilité, sous réserve qu'une configuration d'authentification spécifique soit active sur l'appliance ciblée. Une fois exploitée, l'attaquant obtient un accès non autorisé à l'appliance, y compris sur des comptes disposant de privilèges élevés.
• CVE-2026-40138 : Une vulnérabilité similaire, causée par une validation défaillante des données d'authentification, affecte à la fois RS et PRA. Elle nécessite une position réseau particulière et une complexité d'exploitation plus élevée que la vulnérabilité précédente, mais permet le même type d'accès non autorisé à des comptes à privilèges élevés.
Étant donné que RS et PRA sont des solutions de télémaintenance et de gestion des accès à privilèges, une compromission de l'appliance donne potentiellement à l'attaquant un accès direct aux postes et serveurs administrés par la solution, ainsi qu'aux identifiants qui y transitent.
À l'heure actuelle, BeyondTrust ne fait mention d'aucune exploitation active de ces deux vulnérabilités. L'éditeur précise toutefois que d'autres failles touchant RS/PRA ont été exploitées activement par le passé pour déployer des webshells et des backdoors, dont une exploitée dans une campagne de ransomware.
Étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre pour toute machine exposée sur Internet.
Solutions
Détection de la compromission :
Afin de vérifier si une appliance RS/PRA est compromise, vous pouvez :
• Vérifier la présence de comptes locaux illégitimes.
• Rechercher des connexions ou usages de sessions de support à distance en dehors des horaires ou des plages IP habituelles.
Aucun indicateur de compromission public n'est disponible à l'heure de l'émission de ce bulletin.
Remédiation
Mettre à jour BeyondTrust Remote Support et Privileged Remote Access vers :
• RS 25.3.3 et versions ultérieures
• PRA 25.3.3 et versions ultérieures
Pour les instances cloud, le correctif a déjà été appliqué automatiquement par l'éditeur au 21 avril 2026. Les instances self-hosted non abonnées aux mises à jour automatiques doivent appliquer le security rollup d'avril 2026 ou effectuer la montée de version ci-dessus.
Mitigation
Aucune mitigation officielle n'est disponible en dehors de la mise à jour. En attendant l'application du correctif, il est recommandé de restreindre l'exposition de l'appliance à internet.

Restez informés des dernières menaces !
Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

