Se ha observado que los actores de amenazas explotan una descompostura de seguridad crítica recientemente revelada que afecta los productos BeyondTrust Remote Support (RS) y Privileged Remote Access (PRA) para tolerar a extremo una amplia abanico de acciones maliciosas, incluida la implementación de VShell y
La vulnerabilidad, rastreada como CVE-2026-1731 (Puntuación CVSS: 9,9), permite a los atacantes ejecutar comandos del sistema eficaz en el contexto del legatario del sitio.
En un noticia publicado el jueves, la Pelotón 42 de Palo Stop Networks dijo que detectó la descompostura de seguridad que se estaba explotando activamente en la naturaleza para examen de red, implementación de shell web, comando y control (C2), instalación de herramientas de suministro remota y puerta trasera, movimiento supletorio y robo de datos.
La campaña se ha dirigido a los sectores de servicios financieros, servicios legales, ingreso tecnología, educación superior, traspaso mayorista y minorista, y atención médica en Estados Unidos, Francia, Alemania, Australia y Canadá.
La compañía de ciberseguridad describió la vulnerabilidad como un caso de descompostura de desinfección que permite a un atacante rendir el script “thin-scc-wrapper” afectado al que se puede obtener a través de la interfaz WebSocket para inyectar y ejecutar comandos de shell arbitrarios en el contexto del legatario del sitio.
“Si correctamente esta cuenta es distinta del legatario raíz, comprometerla efectivamente otorga al atacante control sobre la configuración del dispositivo, las sesiones administradas y el tráfico de la red”, dijo el investigador de seguridad Justin Moore.
El magnitud contemporáneo de los ataques que explotan la descompostura va desde el examen hasta el despliegue de puerta trasera.
- Usar una secuencia de comandos Python personalizada para obtener comunicación a una cuenta administrativa.
- Instalar múltiples shells web en directorios, incluida una puerta trasera PHP que es capaz de ejecutar código PHP sin procesar o ejecutar código PHP gratuito sin escribir nuevos archivos en el disco, así como un cuentagotas bash que establece un shell web persistente.
- Implementación de malware como VShell y Spark RAT.
- Utilizar técnicas de pruebas de seguridad de aplicaciones (OAST) fuera de partida para validar la ejecución exitosa del código y los sistemas comprometidos con las huellas digitales.
- Ejecutar comandos para organizar, comprimir y filtrar datos confidenciales, incluidos archivos de configuración, bases de datos internas del sistema y un volcado completo de PostgreSQL, a un servidor foráneo.
“La relación entre CVE-2026-1731 y CVE-2024-12356 destaca un desafío localizado y recurrente con la energía de entradas interiormente de distintas vías de ejecución”, dijo la Pelotón 42.
“La energía insuficiente de CVE-2024-12356 se debió al uso de software de terceros (postgres), mientras que el problema de energía insuficiente de CVE-2026-1731 ocurrió en BeyondTrust Remote Support (RS) y versiones anteriores del código pulvínulo de BeyondTrust Privileged Remote Access (PRA)”.
Con CVE-2024-12356 explotado por actores de amenazas del vinculo con China como Silk Typhoon, la compañía de ciberseguridad señaló que CVE-2026-1731 asimismo podría ser un objetivo para actores de amenazas sofisticados.
El exposición se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) actualizó su entrada de catálogo de Vulnerabilidades Explotadas Conocidas (KEV) para CVE-2026-1731 para confirmar que el error ha sido explotado en campañas de ransomware.
