Los actores de amenazas están explotando fallas de seguridad críticas recientemente reveladas que afectan los productos BeyondTrust Remote Support (RS) y Privileged Remote Access (PRA) para
Esta vulnerabilidad se rastrea como CVE-2026-1731 (puntuación CVSS: 9,9) y permite a un atacante ejecutar comandos del sistema operativo en el contexto de un usuario del sitio.
En un informe publicado el jueves, la Unidad 42 de Palo Alto Networks dijo que detectó que esta falla de seguridad se explota activamente en la naturaleza para reconocimiento de red, implementación de shell web, comando y control (C2), puerta trasera y instalación de herramientas de administración remota, movimiento lateral y robo de datos.
La campaña está dirigida a los sectores de servicios financieros, servicios legales, alta tecnología, educación superior, venta mayorista y minorista y atención médica en Estados Unidos, Francia, Alemania, Australia y Canadá.
La firma de ciberseguridad describe la vulnerabilidad como un caso de falla de desinfección, que permite a un atacante inyectar y ejecutar comandos de shell arbitrarios en el contexto de un usuario del sitio aprovechando un script «thin-scc-wrapper» afectado accesible a través de la interfaz WebSocket.
«Si bien esta cuenta está separada del usuario raíz, comprometerla efectivamente le da al atacante control sobre la configuración del dispositivo, las sesiones administradas y el tráfico de red», dijo el investigador de seguridad Justin Moore.
Los ataques actuales que explotan esta falla van desde el reconocimiento hasta el despliegue de puerta trasera.
Acceda a cuentas de administrador mediante scripts Python personalizados. Instala múltiples shells web en directorios, incluida una puerta trasera PHP que le permite ejecutar código PHP sin formato o arbitrario sin escribir nuevos archivos en el disco, y un cuentagotas bash que establece un shell web persistente. Implementación de malware como VShell y Spark RAT. Utiliza técnicas de pruebas de seguridad de aplicaciones (OAST) fuera de banda para verificar la ejecución exitosa del código y la toma de huellas digitales de los sistemas comprometidos. Ejecute comandos para preparar, comprimir y extraer datos confidenciales, como archivos de configuración, bases de datos internas del sistema y completar volcados de PostgreSQL a servidores externos.
«La relación entre CVE-2026-1731 y CVE-2024-12356 resalta los desafíos localizados y recurrentes con la validación de entradas dentro de rutas de ejecución separadas», dijo la Unidad 42.
«Si bien la validación insuficiente en CVE-2024-12356 se debió al uso de software de terceros (postgres), el problema de validación insuficiente en CVE-2026-1731 se introdujo en BeyondTrust Remote Support (RS) y versiones anteriores del código base de BeyondTrust Privileged Remote Access (PRA)».
CVE-2024-12356 ha sido explotado por atacantes alineados con China como Silk Typhoon, y la firma de ciberseguridad señaló que CVE-2026-1731 también podría ser objetivo de atacantes sofisticados.
El desarrollo se produce después de que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) actualizara la entrada CVE-2026-1731 en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), confirmando que el error ha sido explotado en una campaña de ransomware.
Source link
