Según WatchTowr, los actores de amenazas han empezado a aprovechar una falla de seguridad crítica recientemente revelada que afecta a los productos de soporte remoto (RS) y acceso remoto privilegiado (PRA) de BeyondTrust.

«De la noche a la mañana, observamos la primera explotación salvaje de BeyondTrust en nuestros sensores globales», dijo Ryan Dewhurst, director de inteligencia de amenazas de WatchTowr, dijo en una publicación en X. «Los atacantes están abusando de get_portal_info para extraer el valor de x-ns-company antes de establecer un canal WebSocket».

La vulnerabilidad en cuestión es CVE-2026-1731 (puntuación CVS: 9,9), lo que podría permitir a un atacante no autenticado ejecutar código de forma remota mediante el envío de solicitudes especialmente diseñadas.

BeyondTrust señaló la semana pasada que la explotación exitosa de la deficiencia podría permitir a un atacante remoto no autenticado ejecutar comandos del sistema operativo en el contexto del usuario del sitio, lo que resultaría en un acceso no autorizado, la exfiltración de datos y la interrupción del servicio.

adsense

Se ha parcheado en las siguientes versiones -

  • Soporte remoto: parche BT26-02-RS, 25.3.2 y versiones posteriores
  • Acceso remoto privilegiado: parche BT26-02-PRA, 25.1.1 y versiones posteriores

El uso del CVE-2026-1731 demuestra la rapidez con la que los actores de amenazas pueden convertir nuevas vulnerabilidades en armas, lo que reduce significativamente la ventana para que los defensores arreglen los sistemas críticos.

CISA agrega 4 fallas al catálogo de KEV

El desarrollo se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) adicional cuatro vulnerabilidades a sus vulnerabilidades explotadas conocidas ( KEV ), en el que se citan pruebas de explotación activa. La lista de vulnerabilidades es la siguiente:

  • CVE-2026-20700 (Puntuación CVSS: 7,8): restricción inadecuada de las operaciones dentro de los límites de una vulnerabilidad del búfer de memoria en Apple iOS, macOS, tvOS, watchOS y VisionOS, que podría permitir a un atacante con capacidad de escritura en memoria ejecutar código arbitrario.
  • CVE-2025-15556 (Puntuación CVSS: 7.7): descarga de código sin una vulnerabilidad de verificación de integridad en Notepad++ que podría permitir a un atacante interceptar o redirigir el tráfico de actualizaciones para descargar y ejecutar un instalador controlado por el atacante y provocar la ejecución de código arbitrario con los privilegios del usuario.
  • CVE-2025-40536 (Puntuación CVSS: 8.1): una vulnerabilidad de elusión del control de seguridad en el servicio de ayuda web de SolarWinds que podría permitir a un atacante no autenticado acceder a determinadas funciones restringidas.
  • CVE-2024-43468 (Puntuación CVSS: 9,8): una vulnerabilidad de inyección de SQL en Microsoft Configuration Manager que podría permitir a un atacante no autenticado ejecutar comandos en el servidor o en la base de datos subyacente mediante el envío de solicitudes especialmente diseñadas.

Vale la pena señalar que Microsoft parcheó el CVE-2024-43468 en octubre de 2024 como parte de sus actualizaciones del martes de parches. Actualmente no está claro cómo se aprovecha esta vulnerabilidad en ataques reales. Tampoco hay información sobre la identidad de los actores de la amenaza que explotan la falla ni sobre la magnitud de dichos esfuerzos.

La adición del CVE-2024-43468 al catálogo KEV sigue a informe reciente de Microsoft sobre una intrusión en varias etapas en la que los actores de amenazas explotaron las instancias de SolarWinds Web Help Desk (WHD) expuestas a Internet para obtener el acceso inicial y trasladarse lateralmente por la red de la organización a otros activos de alto valor.

Sin embargo, el fabricante de Windows dijo que no es evidente si los ataques explotaron el CVE-2025-40551, el CVE-2025-40536 o el CVE-2025-26399, ya que los ataques se produjeron en diciembre de 2025 y en máquinas vulnerables tanto a los conjuntos de vulnerabilidades antiguos como a los nuevos.

En cuanto al CVE-2026-20700, Apple reconoció que la deficiencia podría haberse aprovechado en un ataque extremadamente sofisticado contra personas específicas en versiones de iOS anteriores a iOS 26, lo que aumentaba la posibilidad de que se aprovechara para lanzar software espía comercial. El gigante tecnológico lo solucionó a principios de esta semana.

enlaces

Por último, Rapid7 ha atribuido la explotación del CVE-2025-15556 a un actor de amenazas patrocinado por un estado vinculado a China llamado Lotus Blossom (también conocido como Billbug, Bronze Elgin, G0030, Lotus Panda, Raspberry Typhoon, Spring Dragon y Thrip). Se sabe que está activo al menos desde 2009.

Se ha descubierto que los ataques selectivos abren una puerta trasera previamente indocumentada llamada Chrysalis. Si bien el ataque a la cadena de suministro se cerró por completo el 2 de diciembre de 2025, se estima que el proceso de actualización de Notepad++ estuvo comprometido durante casi cinco meses, entre junio y octubre de 2025.

El equipo de DomainTools Investigations (DTI) describió el incidente como preciso y una «intrusión silenciosa y metódica» que apunta a una misión encubierta de recopilación de inteligencia diseñada para mantener el ruido operativo lo más bajo posible. También caracterizó al autor de las amenazas por su tendencia a mantener largas temporadas y a realizar campañas que duraran varios años.

Un aspecto importante de la campaña es que el código fuente de Notepad++ se dejó intacto y, en lugar de ello, dependió de instaladores troyanos para entregar las cargas maliciosas. Esto, a su vez, permitió a los atacantes eludir las revisiones del código fuente y las comprobaciones de integridad, lo que les permitió pasar desapercibidos durante períodos prolongados, añadió DTI.

«Desde su posición en la infraestructura de actualizaciones, los atacantes no introdujeron códigos maliciosos de forma indiscriminada en la base global de usuarios de Notepad++», dijo dijo . «En cambio, actuaron con moderación y desviaron selectivamente el tráfico de actualizaciones hacia un conjunto reducido de objetivos, organizaciones e individuos cuyas posiciones, acceso o funciones técnicas los hacían estratégicamente valiosos».

«Al abusar de un mecanismo de actualización legítimo en el que confían específicamente desarrolladores y administradores, transformaron el mantenimiento rutinario en un punto de entrada encubierto para un acceso de alto valor. La campaña refleja la continuidad de su propósito, un enfoque sostenido en la inteligencia estratégica regional, ejecutada con métodos más sofisticados, sutiles y difíciles de detectar que en las versiones anteriores».

A la luz de la explotación activa de estas vulnerabilidades, las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen hasta el 15 de febrero de 2026 para abordar el CVE-2025-40536 y hasta el 5 de marzo de 2026 para corregir las tres restantes.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.