기업 보안의 악몽의 계층 구조에서 원격 액세스 게이트웨이의 인증되지 않은 원격 코드 실행(RCE)은 맨 위에 위치합니다. On 2026년 2월 6일비욘드트러스트는 다음 사항을 다루는 보안 업데이트를 발표했습니다. CVE-2026-1731에 영향을 미치는 중요한 취약점입니다. 원격 지원(RS) 그리고 PRA(권한 있는 원격 액세스).
이는 일상적인 '화요일 패치' 이벤트가 아닙니다. 이는 신원 경계의 구조적 위험입니다.
무슨 일이 있었나요(타임라인)
공개 타임라인을 보면 공급업체가 이 문제를 얼마나 심각하게 다루었는지 알 수 있습니다. 2026년 2월 6일에 공개 권고 및 온프레미스 패치가 릴리스되었지만 BeyondTrust는 이미 조용히 2026년 2월 2일의 SaaS/클라우드 인스턴스. 관리형 서비스에 대한 표준 관행인 이 4일의 델타는 공급업체가 공개로 인해 위협 행위자가 무장을 하기 전에 자체 인프라를 즉시 개선하는 데 우선순위를 두었음을 나타냅니다.
보안의 기본: "즉각적인 침해"인 이유
이 취약점은 인증되지 않은 OS 명령 인젝션. 연쇄적인 익스플로잇이나 특정 사용자 상호작용이 필요한 SQL 인젝션이나 크로스 사이트 스크립팅과 달리, OS 명령 인젝션은 공격자가 기본 운영 체제에서 직접 임의의 명령을 실행할 수 있게 해줍니다.
결정적으로, 이것은 사전 인증. 어플라이언스가 인터넷에 연결되어 있는 경우 공격자는 자격 증명, 세션 토큰 또는 VPN 연결이 필요하지 않습니다. 웹 인터페이스에 대한 네트워크 액세스만 있으면 됩니다.
위험 프레임워크: 신원 인접 인프라
비욘드트러스트 RS와 PRA는 단순한 웹 서버가 아닙니다. 세션 브로커. 헬프데스크와 시스템 관리자가 민감한 엔드포인트에 대한 높은 권한 세션을 중개하는 왕국의 열쇠를 쥐고 있도록 설계되었습니다.
공격자가 CVE-2026-1731을 통해 RS/PRA 어플라이언스를 침해하는 경우, 어플라이언스에서 멈추는 경우는 거의 없습니다. 공격자는 어플라이언스의 기본 기능인 자격 증명 주입, 세션 기록, 측면 이동 툴을 활용하여 내부 네트워크로 침투합니다. 단순히 서버를 패치하는 것이 아니라 인터넷과 티어 0 자산 사이의 다리를 방어하는 것입니다.
경영진 요약(리더십을 위한 30초 요약)
이슈: 심각한 결함(CVE-2026-1731)으로 인해 해커가 비밀번호 없이 원격 지원 서버를 완전히 제어할 수 있게 됩니다.
위험: 이러한 서버는 민감한 내부 시스템에 연결하도록 설계되었습니다. 손상되면 네트워크에 즉시 측면 이동이 가능합니다.
상태: 클라우드 버전은 2026년 2월 2일에 자동 패치가 적용되었습니다. 자체 서버(온프레미스)를 호스팅하는 경우 BT25-02 패치를 적용할 때까지 취약한 상태로 유지됩니다.
액션: 노출 여부를 확인하고 즉시 패치를 적용하고 있습니다. 짧은 유지보수 기간이 소요될 것으로 예상됩니다.
2. 사후 검토에서 인용할 수 있는 검증된 사실
이해관계자와 소통하거나 인시던트 보고서를 작성할 때는 정확성이 필수입니다. 추측보다는 검증된 사실에 의존하세요.
CVSS 점수 및 분류
공식적인 NVD 분석은 종종 지연되지만, 공급업체와 초기 분석에서는 이를 다음과 같이 분류합니다. 중요. 공통 약점 열거(CWE)는 다음과 같습니다. CWE-78: OS 명령에 사용되는 특수 요소의 부적절한 무력화('OS 명령 인젝션').
영향을 받는 제품 및 공식 수정 사항
이 취약점은 광범위한 버전에 영향을 미치며, 이는 해당 결함이 코드베이스에 한동안 존재했을 가능성이 높다는 것을 의미합니다.
원격 지원(RS): 버전 21.3~25.3.1.
필수 조치: 필요한 경우 지원되는 버전으로 업그레이드한 다음 신청하세요. 패치 BT25-02-RS.
PRA(권한 있는 원격 액세스): 버전 22.1부터 24.x까지.
필수 조치: 신청하기 패치 BT25-02-PRA.
세이프 하버: PRA 버전 25.1 이상은 다음과 같습니다. 영향을 받지 않음 이 특정 취약점으로 인한 것입니다.
악용 현황
2월 6일 발표 직후 Arctic Wolf와 Rapid7의 초기 분석 결과, 야생에서의 활발한 착취는 다음과 같습니다. "관찰되지 않음." 또한, 공개 당시 GitHub 또는 ExploitDB에는 공개 개념 증명(PoC) 코드가 제공되지 않았습니다.
하지만 경고입니다: "관찰되지 않음" 상태는 일시적인 것입니다. 명령 인젝션 취약점에 대한 패치를 리버스 엔지니어링하는 것은 정교한 위협 행위자에게는 사소한 일입니다. "차이점"(패치된 코드와 패치되지 않은 코드의 차이점)을 분석하면 며칠이 아니라 몇 시간 만에 작동하는 익스플로잇을 생성할 수 있습니다.
아직 모르는 것
특정 매개변수: 공급업체는 종종 정확한 API 엔드포인트 또는 매개변수(예, ?file_path= 또는 POST 본문 필드)를 사용하여 수비수에게 시간을 벌 수 있습니다.
WAF 서명: 특정 공격 문자열이 없으면 일반 WAF 규칙으로 일부 시도를 차단할 수 있지만, 맞춤형 차단 규칙은 아직 WAF 공급업체에서 널리 제공되지 않습니다.
CVE-2026-1731 RS/PRA 사전 인증 RCE
3. 보안 엔지니어가 실제로 검색하는 것 3.
이 글을 읽고 계신다면 네 가지 특정 인텐트 클러스터를 순환하고 있을 것입니다. 이를 해결하는 방법은 다음과 같습니다:
"제가 영향을 받나요?" 빌드 버전을 즉시 확인해야 합니다. SaaS를 사용 중이라면 안전할 가능성이 높습니다(변경 로그를 확인하세요). 온프레미스를 사용하는 경우에는 그렇지 않다는 것이 입증될 때까지 취약하다고 가정하세요.
"어떻게 하면 안전하게 패치할 수 있나요?" 위기 상황에서 원격 액세스 게이트웨이가 '브릭'될 수 있다는 두려움은 현실입니다. 패치는 BeyondTrust 업데이트 메커니즘을 통해 제공됩니다. 의사 결정 트리는 섹션 4에서 다룹니다.
"패치 적용을 어떻게 확인하나요?" 대시보드가 거짓말을 합니다. 캐시가 지속됩니다. 디스크의 코드가 변경되었거나 서비스가 다시 시작되었다는 증거가 필요합니다. 검증에 대해서는 섹션 10에서 다루고 있습니다.
"IOC/감지?" 공개 PoC가 없으므로 특정 해시를 검색할 수 없습니다. 다음을 찾아야 합니다. 행동예기치 않은 하위 프로세스 및 비정상적인 웹 요청. 섹션 7을 참조하세요.
이 CVE와 관련된 언어는 구체적입니다: "중요", "인증되지 않음" 그리고 "인터넷 연결." 이러한 키워드는 랜섬웨어 그룹의 저항이 가장 적은 경로를 설명하기 때문에 긴박감을 불러일으킵니다.
4. 영향을 받는 버전 매트릭스 및 패치 의사 결정 트리
공급업체 버전 관리를 탐색하는 것은 복잡할 수 있습니다. 이 매트릭스를 사용하여 정확한 해결 경로를 결정하세요.
배포 모델: 클라우드 대 온프레미스
SaaS/클라우드 관리형: BeyondTrust는 다음 클라우드 인스턴스에 수정 사항을 적용했습니다. 2026년 2월 2일. 패치 자체에 대한 조치는 필요하지 않지만 해당 날짜 이전의 활동에 대한 구성 및 검토 로그를 확인해야 합니다.
셀프 호스팅/온프레미스: 패치를 적용할 책임은 회원님에게 있습니다.
패치 매트릭스
제품
배포
취약한 버전
수정/패치 ID
다운타임 추정치
유효성 검사
RS
온프레미스
21.3 - 25.3.1
BT25-02-RS
15-30분
버전 확인 + 서비스 다시 시작
PRA
온프레미스
22.1 - 24.x
BT25-02-PRA
15-30분
버전 확인 + 서비스 다시 시작
PRA
온프레미스
25.1+
필요 없음
N/A
버전이 25.1 이상인지 확인
RS/PRA
클라우드
모두
자동 패치
없음
공급업체 알림 확인
해결 의사 결정 트리
제품 식별: 원격 지원(RS) 또는 권한 있는 원격 액세스(PRA)를 실행 중이신가요?
버전 확인:
만약 PRA >= 25.1: CVE-2026-1731로부터 안전합니다. 자산 인벤토리에 이를 문서화하고 중지하세요.
만약 PRA <= 24.x (및 >= 22.1): 신청해야 합니다. 패치 BT25-02-PRA.
레거시 확인: 버전을 실행 중인 경우 이전 를 지원되는 범위(예: RS 20.x)보다 더 많이 사용하는 경우 이중의 위험에 처하게 됩니다. 이 취약점(또는 이와 유사한 이전 취약점)에 취약할 가능성이 높으며 패치를 직접 적용할 수 없습니다. 사용자 업그레이드해야 합니다. 를 지원되는 기본 버전으로 먼저 업그레이드한 다음 패치를 적용하세요.
5. 노출 확인: "인터넷에서 접속 가능한가?"
쇼단 및 센시스와 같은 스캔 서비스의 추정치에 따르면 대략 다음과 같습니다. 8,500개 이상의 인터넷 연결 온프레미스 RS/PRA 구축 사례. 이 중 하나에 해당하는 경우, 패치 완료 시간(TTP) 목표를 시간 단위로 측정해야 합니다.
노출이 중요한 이유
원격 지원 도구는 공급업체의 액세스 또는 재택근무 지원을 용이하게 하기 위해 DMZ에 배치되는 경우가 많습니다. 그러나 '도달 가능'은 종종 필요한 것 이상으로 확장됩니다.
확인해야 할 사항(방어 인벤토리)
인프라를 대상으로 익스플로잇을 실행하지 마세요. 대신 안전한 인증 방법을 사용하세요:
공개 DNS 레코드: 다음과 같은 하위 도메인이 있는지 확인합니다. support.company.com 또는 access.company.com.
역방향 프록시: Nginx/Apache/F5 구성이 다음을 노출하는지 확인합니다. /로그인 또는 /api 비욘드트러스트 어플라이언스가 전 세계로 뻗어나가는 경로를 살펴보세요.
자산 인벤토리: 내부 CMDB 또는 자산 목록을 검색하세요.
Bash
# 자산 인벤토리 내보내기 소스로 바꾸기
목표: 공식적으로 자산으로 기록된 RS/PRA 엔드포인트 찾기
cat assets.csv | grep -Ei 'beyondtrust|원격 지원|특권 원격 액세스|rs|pra'`
자산을 찾으면 외부 네트워크(예: 모바일 핫스팟)에서 로그인 페이지를 컬링하여 도달 가능성을 확인합니다. 페이지가 로드되면 노출된 것입니다.
CVE-2026-1731 RS/PRA 사전 인증 RCE
6. 근본 원인 클래스: 엔터프라이즈 웹 서비스의 OS 명령 인젝션
CVE-2026-1731을 방어하려면 특정 익스플로잇뿐만 아니라 취약점의 등급을 이해해야 합니다.
메커니즘
OS 명령 인젝션(CWE-78)은 애플리케이션이 사용자 이름, 파일 이름 또는 HTTP 헤더와 같이 신뢰할 수 없는 입력을 받아 적절한 살균 처리 없이 시스템 셸 명령에 전달할 때 발생합니다.
원격 지원 어플라이언스의 맥락에서 애플리케이션은 세션 키를 생성하거나 이벤트를 기록하기 위해 스크립트를 실행하려고 시도할 수 있습니다.
의도된 행동:generate_session.sh --user="alice"
공격 페이로드:alice"; cat /etc/passwd #
결과 명령:generate_session.sh --user="alice"; cat /etc/passwd #"
셸은 세미콜론을 보고 첫 번째 명령을 완료한 다음 공격자의 명령(cat /etc/passwd).
'사이트 사용자 컨텍스트'가 치명적인 이유
웹 애플리케이션이 권한이 낮은 사용자로 실행되는 경우에도(예를 들어 www-data 또는 사이트), RS/PRA 어플라이언스에 미치는 영향은 매우 중요합니다.
구성 액세스: 웹 사용자는 데이터베이스 자격 증명 또는 LDAP 바인드 키가 포함된 구성 파일에 대한 읽기 액세스 권한이 있는 경우가 많습니다.
로컬 권한 에스컬레이션: 셸에 들어가면 공격자는 로컬 커널 취약점이나 잘못된 구성을 악용하여 루트를 확보할 수 있습니다.
피벗: 어플라이언스는 다음과 같습니다. 디자인 를 사용하여 다른 머신에 연결할 수 있습니다. 공격자는 어플라이언스를 점프 박스(SOCKS 프록시)로 사용하여 내부 네트워크를 공격할 수 있습니다.
7. 탐지 및 원격 측정: PoC 없이 사냥할 대상
GitHub PoC가 헌팅을 시작할 때까지 기다리지 마세요. 헌팅이 시작되면 증상 악용될 수 있습니다.
웹 원격 측정(프론트 도어)
HTTP 요청에서 이상 징후를 찾아보세요.
방법: 일반적으로 GET을 수신하는 엔드포인트에 대한 POST 요청이 급증하거나 특정 API URI에 대한 요청이 대량으로 발생하는 경우.
페이로드: URI 또는 헤더에서 일반적인 셸 문자를 찾아보세요: ;, |, &, $(), .
상태 코드: 500(내부 서버 오류)이 갑자기 급증하면 공격자가 인젝션 지점을 흐리고 있음을 나타낼 수 있습니다.
호스트 원격 분석(내부 보기)
이것이 가장 충실도가 높은 신호입니다. 웹 서비스 프로세스(예: BeyondTrust 서비스 바이너리)는 일반적으로 다음과 같아야 합니다. not 포탄이 스폰됩니다.
레이어별 신호
레이어
신호
데이터 소스
분류 노트
네트워크
다음을 포함하는 URI /bin/sh 또는 wget
WAF/로드 밸런서
익스플로잇 시도일 가능성이 높으므로 즉시 차단합니다.
엔드포인트
서비스 계정 생성 cmd.exe 또는 sh
EDR / 시스몬
중요. 성공적인 RCE를 나타냅니다.
엔드포인트
curl 또는 wget 외부 IP로
EDR/넷플로우
익스플로잇 후(페이로드 가져오기).
헌팅 쿼리(Splunk/SIEM)
# 웹: 새로운 IP에서 RS/PRA로 비정상적인 POST 버스트를 찾습니다.
BeyondTrust 명명 규칙에 맞게 '호스트'를 조정하세요.
index=proxy_logs (host="rs*" OR host="pra*") method=POST | stats count dc(src_ip) by uri_path | where count > 200 AND dc(src_ip) > 20
엔드포인트: RS/PRA 서비스 계정에서 생성된 의심스러운 하위 프로세스
이것은 셸을 생성하는 웹 서비스, 즉 고전적인 RCE 시그니처를 찾습니다.
index=edr 프로세스_부모="원격 지원" 또는 프로세스_부모="PrivilegedRemoteAccess" | 검색 (프로세스 이름="sh" OR 프로세스 이름="bash" OR 프로세스 이름="cmd.exe" OR 프로세스 이름="powershell.exe")`입니다.
8. 다음 시간 내에 패치할 수 없는 경우의 완화 조치
때로는 변경 관리 위원회나 운영상의 제약으로 인해 즉각적인 패치가 불가능한 경우도 있습니다. 이러한 경우 다음 주소로 이동해야 합니다. 격리.
1. 공개 노출 제거("VPN 전용" 전략)
가장 효과적인 완화 방법은 웹 인터페이스에 대한 인터넷 액세스를 차단하는 것입니다. 방화벽 또는 로드 밸런서를 재구성하여 액세스를 허용합니다. 만 에서:
기업 내부 IP 범위.
신뢰할 수 있는 VPN 이그레스 IP.
특정 공급업체 IP 허용 목록(타사 액세스에 사용되는 경우).
이렇게 하면 '인증되지 않은 인터넷 RCE'가 '내부자 위협' 문제로 전환되어 공격 표면이 크게 줄어듭니다.
2. 관리 표면 강화
사용자 포털을 차단할 수 없는 경우 다음을 확인하세요. /로그인/관리자 또는 관리 인터페이스가 IP에 의해 제한되거나 로드밸런서 수준에서 클라이언트 인증서(mTLS)가 필요한 경우입니다.
3. 공격적인 WAF 튜닝
Cloudflare, AWS WAF 등을 사용하는 경우:
OS 명령 주입 규칙 집합에 대해 "고감도"를 사용하도록 설정합니다.
공격적으로 IP를 제한합니다(예: 1분 동안 5회 요청 실패 후 차단).
유효성 검사: 교대 근무를 종료하기 전에 경영진에게 위험이 감소했음을 입증해야 합니다. "VPN 뒤에 배치했습니다"는 유효한 중간 상태 업데이트입니다.
보안 엔지니어링은 패턴 인식에 관한 것입니다. 비욘드트러스트 어플라이언스는 이전에 표적이 된 적이 있으며, 이러한 맥락은 위험 점수 산정에서 중요합니다.
이전 CVE
CVE-2024-12356: 2024년 말에 중요한 명령어 주입 취약점이 수정되었습니다.
CVE-2024-12686: 같은 창에 관련 이슈가 공개됩니다.
CISA KEV와 실제 영향력
CISA는 CVE-2024-12356을 추가했습니다. 알려진 익스플로잇 취약점(KEV) 카탈로그를 통해 위협 행위자가 이를 무기화했음을 확인했습니다.
더욱 놀라운 사실은 2024년 말에서 2025년 초에 미국 재무부를 포함한 고가치 목표가 원격 액세스 도구 침해와 연관되어 손상되었다는 보도(로이터 보도 포함)가 나왔다는 점입니다. 이러한 사건은 공격자들이 이러한 기기를 높은 가치의 초크포인트로 간주하고 있음을 보여줍니다. 2026-1731과 같은 새로운 CVE가 발견되면 공격자들은 기본적으로 기존 인터넷 맵을 확인하여 아직 패치를 적용하지 않은 사람이 있는지 확인합니다.
10. 패치 확인: 노출되지 않았음을 증명하기
패치를 적용하는 것이 1단계입니다. 패치를 확인하는 것이 2단계입니다. 대부분의 팀은 2단계를 건너뜁니다.
대시보드가 아닌 증거를 신뢰하세요
웹 대시보드가 상태를 캐시했거나 업데이트 스크립트가 자동으로 실패했기 때문에 '최신'이라고 표시될 수 있습니다. 다음이 필요합니다. 런타임 증거.
버전 증거: 로그인 페이지 소스 코드에 표시되는 빌드 번호(표시되는 경우)를 확인하거나 SSH를 사용할 수 있는 경우 명령줄 인터페이스를 통해 빌드 번호를 확인합니다.
증거 변경: 서비스 재시작 타임스탬프를 확인합니다. 서버 가동 시간이 300일인 경우 패치가 적용되지 않았거나 적용되지 않은 것입니다.
런타임 증거: 패치 직후 로그를 모니터링합니다. 서비스가 요청을 정상적으로 처리하고 있는지 확인합니다.
Bash
# 예제: 감사 증거를 위한 버전/빌드 문자열 캡처
가능한 경우 SSH 또는 어플라이언스 콘솔을 통해 실행하세요.
1. 커널/OS 정보 확인(건전성 검사)
uname -a
2. 시간 확인(재시작 로그와의 상관관계 확인)
날짜 -u
3. 실행 중인 프로세스를 확인하여 서비스가 최근에 다시 시작되었는지 확인합니다.
'시작' 또는 '시간' 열을 확인하세요.
ps aux | egrep -i '원격 지원|권한 있는 원격 액세스' | head`
11. 운영 플레이북: 인시던트로 실행하기
CVE-2026-1731을 표준 Jira 티켓으로 취급하지 마세요. 인시던트로 처리하세요.
분류 순서
인터넷에 노출된 인스턴스: 우선순위 0입니다. 즉시 패치하거나 제한하세요.
하이-프리미엄 통합: 도메인 컨트롤러 또는 프로덕션 DB에 연결된 인스턴스.
내부 전용 인스턴스: 우선순위 2. 표준 기간(24-48시간) 내에 패치.
서둘러 패치를 적용하는 과정에서 팀들은 수정 사항을 적용하고 효과가 있기를 바라는 '패치 후 기도'의 함정에 빠지는 경우가 많습니다. 더 나은 접근 방식은 "패치 후 검증"입니다. 바로 이 부분에서 재현 가능한 검증이 필수적입니다. WAF 규칙이나 VPN 제한과 같은 노출 제어가 실제로 외부 액세스를 차단하고 있는지 확실하게 확인해야 합니다.
펜리전트 는 단순한 취약점 스캔을 뛰어넘어 이러한 워크플로우를 지원합니다.
자산 프로파일링: 외부 자산 중 BeyondTrust 어플라이언스의 프로필과 일치하는 자산을 빠르게 식별하여 '섀도 IT' 배포를 놓치지 않도록 보장합니다.
안전 유효성 검사: 실시간 익스플로잇을 실행하는 대신 Penligent의 자동화된 검증 워크플로를 통해 패치가 취약점을 효과적으로 폐쇄했는지 또는 WAF 규칙이 공격 벡터를 성공적으로 차단하고 있는지 확인하여 감사에 대비한 개선 증거를 제공할 수 있습니다.
Korean 
English 
German 
French 
Spanish 
Portuguese 
Japanese 
Hindi 
Arabic 
Turkish 
Hebrew