Los actores de amenazas han comenzado a explotar una rotura de seguridad crítica recientemente revelada que afecta los productos BeyondTrust Remote Support (RS) y Privileged Remote Access (PRA), según watchTowr.
“De la confusión a la mañana observamos la primera explotación salvaje de BeyondTrust a través de nuestros sensores globales”, dijo Ryan Dewhurst, principal de inteligencia de amenazas en watchTowr, en una publicación en X. “Los atacantes están abusando de get_portal_info para extraer el valía de la empresa x-ns ayer de establecer un canal WebSocket”.
La vulnerabilidad en cuestión es CVE-2026-1731 (puntuación CVS: 9,9), que podría permitir a un atacante no autenticado ganar la ejecución remota de código mediante el emisión de solicitudes especialmente diseñadas.
BeyondTrust señaló la semana pasada que la explotación exitosa de la deficiencia podría permitir que un atacante remoto no autenticado ejecute comandos del sistema eficaz en el contexto del agraciado del sitio, lo que resultaría en comunicación no calificado, exfiltración de datos e interrupción del servicio.
Ha sido parcheado en las siguientes versiones. Todas las versiones de PRA 25.1 y posteriores no requieren parches para esta vulnerabilidad.
Actualice los números de interpretación.
- Soporte remoto – Parche BT26-02-RS (v21.3 – 25.3.1)
- Entrada remoto privilegiado: parche BT26-02-PRA (v22.1 – 24.X)
GreyNoise dijo que Defused Cyber además confirmó intentos de explotación en estado salvaje de CVE-2026-1731, y el primero señaló que observó esfuerzos de registro dirigidos a la vulnerabilidad menos de 24 horas posteriormente de la disponibilidad de un exploit de prueba de concepto (PoC).
“Una única IP representa el 86% de todas las sesiones de registro observadas hasta ahora. Está asociada a un servicio VPN comercial alojado por un proveedor en Frankfurt”, afirmó la empresa. “Este no es un actor nuevo; es una operación de escaneo establecida que rápidamente agregó comprobaciones CVE-2026-1731 a su conjunto de herramientas”.
El uso de CVE-2026-1731 demuestra la presteza con la que los actores de amenazas pueden convertir en armas nuevas vulnerabilidades, reduciendo significativamente la ventana para que los defensores parcheen los sistemas críticos.
CISA agrega 4 fallas al catálogo KEV
El explicación se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó cuatro vulnerabilidades a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de explotación activa. La nómina de vulnerabilidades es la futuro:
- CVE-2026-20700 (Puntuación CVSS: 7,8): una restricción inadecuada de operaciones adentro de los límites de una vulnerabilidad del búfer de memoria en Apple iOS, macOS, tvOS, watchOS y visionOS que podría permitir que un atacante con capacidad de escritura en memoria ejecute código caprichoso.
- CVE-2025-15556 (Puntuación CVSS: 7,7): una descarga de código sin una vulnerabilidad de demostración de integridad en Notepad++ que podría permitir a un atacante interceptar o redirigir el tráfico de modernización para descargar y ejecutar un instalador controlado por el atacante y conducir a la ejecución de código caprichoso con los privilegios del agraciado.
- CVE-2025-40536 (Puntuación CVSS: 8,1): una vulnerabilidad de elusión del control de seguridad en SolarWinds Web Help Desk que podría permitir que un atacante no autenticado obtenga comunicación a determinadas funciones restringidas.
- CVE-2024-43468 (Puntuación CVSS: 9,8): una vulnerabilidad de inyección SQL en Microsoft Configuration Manager que podría permitir que un atacante no autenticado ejecute comandos en el servidor y/o la saco de datos subyacente mediante el emisión de solicitudes especialmente diseñadas.
Vale la pena señalar que Microsoft parcheó CVE-2024-43468 en octubre de 2024 como parte de sus actualizaciones del martes de parches. Actualmente no está claro cómo se aprovecha esta vulnerabilidad en ataques del mundo vivo. Siquiera hay información sobre la identidad de los actores de amenazas que explotan la rotura y la escalera de tales esfuerzos.
La apéndice de CVE-2024-43468 al catálogo KEV sigue a un documentación nuevo de Microsoft sobre una intrusión de varias etapas que involucró a actores de amenazas que explotaban instancias de SolarWinds Web Help Desk (WHD) expuestas a Internet para obtener comunicación original y moverse lateralmente a través de la red de la ordenamiento en dirección a otros activos de suspensión valía.
Sin secuestro, el fabricante de Windows dijo que no es evidente si los ataques explotaron CVE-2025-40551, CVE-2025-40536 o CVE-2025-26399, ya que los ataques ocurrieron en diciembre de 2025 y en máquinas vulnerables a los conjuntos de vulnerabilidades tanto antiguos como nuevos.
En cuanto a CVE-2026-20700, Apple reconoció que la deficiencia puede poseer sido explotada en un ataque extremadamente sofisticado contra individuos específicos en versiones de iOS anteriores a iOS 26, lo que plantea la posibilidad de que se haya estudioso para entregar software infiltrado comercial. El hércules tecnológico lo solucionó a principios de esta semana.
Por extremo, Rapid7 ha atribuido la explotación de CVE-2025-15556 a un actor de amenazas patrocinado por el estado vinculado a China llamado Lotus Blossom (además conocido como Billbug, Bronze Elgin, G0030, Lotus Panda, Raspberry Typhoon, Spring Dragon y Thrip). Se sabe que está activo desde al menos 2009.
Se ha descubierto que los ataques dirigidos generan una puerta trasera previamente indocumentada emplazamiento Chrysalis. Si adecuadamente el ataque a la dependencia de suministro se solucionó por completo el 2 de diciembre de 2025, se estima que el compromiso del proceso de modernización de Notepad++ duró casi cinco meses entre junio y octubre de 2025.
El equipo de Investigaciones de DomainTools (DTI) describió el incidente como preciso y como una “intrusión silenciosa y metódica” que apunta a una empresa estafa de compilación de inteligencia diseñada para nutrir el ruido eficaz lo más bajo posible. Incluso caracterizó al actor de amenazas por tener una inclinación por tiempos de permanencia prolongados y campañas de varios primaveras.
Un aspecto importante de la campaña es que el código fuente de Notepad++ se dejó inmaculado, en extensión de necesitar de instaladores troyanizados para entregar las cargas maliciosas. Esto, a su vez, permitió a los atacantes eludir las revisiones del código fuente y las comprobaciones de integridad, lo que les permitió permanecer sin ser detectados durante períodos prolongados, añadió DTI.
“Desde su punto de apoyo adentro de la infraestructura de modernización, los atacantes no enviaron indiscriminadamente código sagaz a la saco total de usuarios de Notepad++”, dijo. “En cambio, actuaron con moderación, desviando selectivamente el tráfico de actualizaciones en dirección a un conjunto limitado de objetivos, organizaciones e individuos cuyas posiciones, comunicación o roles técnicos los hacían estratégicamente valiosos”.
“Al atropellar de un mecanismo de modernización genuino en el que confían específicamente los desarrolladores y administradores, transformaron el mantenimiento de rutina en un punto de entrada encubierto para comunicación de suspensión valía. La campaña refleja la continuidad en el propósito, un enfoque sostenido en la inteligencia estratégica regional, ejecutado con métodos más sofisticados, más sutiles y más difíciles de detectar que en iteraciones anteriores”.
LevelBlue SpiderLabs, en un documentación que investiga la violación de la modernización de Notepad++, instó a los usuarios a desempolvar Notepad++ a la interpretación 8.9.1 o posterior, opcionalmente deshabilitar el actualizador obligatorio WinGUp durante la instalación y cerciorarse de que la utilidad de modernización se comunique solo con servidores de modernización legítimos.
A la luz de la explotación activa de estas vulnerabilidades, las agencias del Poder Ejecutor Civil Federal (FCEB) tienen hasta el 15 de febrero de 2026 para tocar CVE-2025-40536, y hasta el 5 de marzo de 2026 para corregir las tres restantes.
Renovar
El 13 de febrero de 2026, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó CVE-2026-1731 a su catálogo de vulnerabilidades explotadas conocidas (KEV), lo que exige que las agencias del Poder Ejecutor Civil Federal (FCEB) apliquen la decisión ayer del 16 de febrero de 2026.
Investigadores de la firma de seguridad Arctic Wolf han detectado ataques dirigidos a implementaciones de soporte remoto y comunicación remoto privilegiado a través de CVE-2026-1731, intentando implementar la utensilio de monitoreo y despacho remota (RMM) SimpleHelp para persistencia y realizar movimientos laterales a otros sistemas en la red.
“AdsiSearcher se utilizó para obtener el inventario de computadoras de Active Directory”, dijo Arctic Wolf. “PSexec se utilizó para ejecutar la instalación de SimpleHelp en múltiples dispositivos en entornos afectados. Incluso observamos solicitudes de configuración de sesión de Impacket SMBv2 en las primeras etapas de los entornos afectados”.
