Según watchTowr, los actores de amenazas han comenzado a explotar fallas de seguridad críticas recientemente reveladas que afectan los productos BeyondTrust Remote Support (RS) y Privileged Remote Access (PRA).
«De la noche a la mañana, observamos la primera explotación de BeyondTrust en el mundo real a través de nuestros sensores globales», dijo Ryan Dewhurst, jefe de inteligencia de amenazas en watchTowr, en una publicación en X. «El atacante está abusando de get_portal_info para extraer el valor de la empresa x-ns antes de establecer el canal WebSocket».
La vulnerabilidad en cuestión, CVE-2026-1731 (puntuación CVS: 9,9), podría permitir que un atacante no autenticado ejecute código remoto enviando una solicitud especialmente diseñada.
BeyondTrust señaló la semana pasada que la explotación exitosa de esta falla podría permitir que un atacante remoto no autenticado ejecute comandos del sistema operativo en el contexto de un usuario del sitio, lo que podría resultar en acceso no autorizado, divulgación de datos o interrupción del servicio.
Se han parcheado las siguientes versiones:
Soporte remoto: parche BT26-02-RS, 25.3.2 o posterior Acceso remoto privilegiado: parche BT26-02-PRA, 25.1.1 o posterior
El uso de CVE-2026-1731 ilustra cómo los atacantes pueden convertir rápidamente en armas nuevas vulnerabilidades, reduciendo significativamente el tiempo que los defensores tienen para parchar los sistemas críticos.
CISA añade 4 defectos al catálogo de KEV
El desarrollo se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó cuatro vulnerabilidades a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de explotación activa. Aquí está la lista de vulnerabilidades:
CVE-2026-20700 (Puntuación CVSS: 7,8): la restricción inadecuada de operaciones dentro de una vulnerabilidad de búfer de memoria en Apple iOS, macOS, tvOS, watchOS y visionOS podría permitir que un atacante con capacidades de escritura en memoria ejecute código arbitrario. CVE-2025-15556 (Puntuación CVSS: 7,7): la descarga de código sin una vulnerabilidad de comprobación de integridad en Notepad++ podría permitir a un atacante interceptar o redirigir el tráfico de actualizaciones y descargar y ejecutar un instalador controlado por el atacante, lo que podría provocar la ejecución de código arbitrario con los privilegios del usuario. CVE-2025-40536 (Puntuación CVSS: 8,1): una vulnerabilidad de omisión de control de seguridad en SolarWinds Web Help Desk podría permitir que un atacante no autenticado acceda a determinadas funciones restringidas. CVE-2024-43468 (Puntuación CVSS: 9,8): una vulnerabilidad de inyección SQL en Microsoft Configuration Manager podría permitir que un atacante no autenticado ejecute comandos en el servidor o en la base de datos subyacente enviando una solicitud especialmente diseñada.
Vale la pena señalar que Microsoft parchó CVE-2024-43468 en octubre de 2024 como parte de la actualización del martes de parches. Actualmente se desconoce cómo se aprovecha esta vulnerabilidad en ataques reales. Tampoco hay información sobre la identidad de los atacantes que explotan la falla o la escala de dichos esfuerzos.
La adición de CVE-2024-43468 al catálogo KEV sigue al informe reciente de Microsoft sobre una intrusión de varias etapas en la que los atacantes explotan instancias de SolarWinds Web Help Desk (WHD) expuestas a Internet para obtener acceso inicial y moverse lateralmente a través de la red de una organización hacia otros activos de alto valor.
Sin embargo, el fabricante de Windows dijo que no está claro si el ataque aprovechó CVE-2025-40551, CVE-2025-40536 o CVE-2025-26399, ya que el ataque ocurrió en diciembre de 2025 y ocurrió en máquinas vulnerables a conjuntos de vulnerabilidades tanto antiguos como nuevos.
Respecto a CVE-2026-20700, Apple ha reconocido que este fallo podría explotarse en ataques muy sofisticados contra objetivos específicos en versiones de iOS anteriores a iOS 26, planteando la posibilidad de que pueda explotarse para distribuir software espía comercial. El gigante tecnológico solucionó el problema a principios de esta semana.
Finalmente, Rapid7 ha atribuido la explotación de CVE-2025-15556 a un actor de amenazas patrocinado por el estado asociado con China conocido como Lotus Blossom (también conocido como Billbug, Bronze Elgin, G0030, Lotus Panda, Raspberry Typhoon, Spring Dragon y Thrip). Se sabe que ha estado activo desde al menos 2009.
Se descubrió que este ataque dirigido generaba una puerta trasera previamente indocumentada llamada Chrysalis. Aunque el ataque a la cadena de suministro se detuvo por completo el 2 de diciembre de 2025, se estima que el proceso de actualización de Notepad++ se vio comprometido durante un período de casi cinco meses, de junio a octubre de 2025.
El equipo de Investigaciones de DomainTools (DTI) describió el incidente como una «intrusión coordinada, silenciosa y precisa», indicativa de una misión encubierta de recopilación de inteligencia diseñada para mantener el ruido operativo lo más bajo posible. Este actor de amenazas también se caracterizó por una tendencia a largos tiempos de permanencia y campañas de varios años.
Un aspecto clave de esta campaña es que el código fuente de Notepad++ se dejó intacto y en su lugar dependió de un instalador troyanizado para entregar la carga maliciosa. Esto permite a los atacantes eludir las revisiones del código fuente y las comprobaciones de integridad, lo que permite efectivamente que los ataques pasen desapercibidos durante largos períodos de tiempo, añadió DTI.
«Los atacantes no enviaron indiscriminadamente código malicioso a la base global de usuarios de Notepad++ desde un punto de apoyo dentro de la infraestructura de actualización». «En cambio, activaron la limitación y desviaron selectivamente el tráfico de actualizaciones a un número limitado de objetivos, organizaciones e individuos que eran estratégicamente valiosos debido a su posición, acceso o función técnica».
«Al explotar los mecanismos de actualización legítimos utilizados por los desarrolladores y administradores en particular, han convertido el mantenimiento de rutina en un punto de entrada encubierto para acceso de alto valor. Esta campaña refleja la continuidad del propósito, un enfoque continuo en la inteligencia estratégica regional y se ejecuta de una manera más sofisticada, más sutil y más difícil de detectar que las iteraciones anteriores».
Dada la explotación activa de estas vulnerabilidades, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben abordar CVE-2025-40536 antes del 15 de febrero de 2026 y corregir las tres restantes antes del 5 de marzo de 2026.
Source link
