Se ha observado que los actores de amenazas explotan una falla de seguridad crítica revelada recientemente que afecta a los productos de soporte remoto (RS) y acceso remoto privilegiado (PRA) de BeyondTrust para llevar a cabo una amplia gama de acciones maliciosas, incluida la implementación de vShell y

La vulnerabilidad, rastreada como CVE-2026-1731 (puntuación CVSS: 9,9), permite a los atacantes ejecutar comandos del sistema operativo en el contexto del usuario del sitio.

En un informe publicado el jueves, la Unidad 42 de Palo Alto Networks dijo detectó la falla de seguridad que se estaba explotando activamente en la naturaleza para el reconocimiento de redes, el despliegue de web shell, el comando y control (C2), la instalación de herramientas de administración remota y de puerta trasera, el movimiento lateral y el robo de datos.

La campaña se ha dirigido a los sectores de los servicios financieros, los servicios legales, la alta tecnología, la educación superior, la venta mayorista y minorista y la atención médica en EE. UU., Francia, Alemania, Australia y Canadá.

adsense

La empresa de ciberseguridad describió la vulnerabilidad como un caso de fallo de desinfección que permite a un atacante aprovechar el script «thin-scc-wrapper» afectado, al que se puede acceder a través de la interfaz WebSocket, para inyectar y ejecutar comandos de shell arbitrarios en el contexto del usuario del sitio.

«Si bien esta cuenta es distinta de la del usuario raíz, comprometerla de manera efectiva otorga al atacante el control sobre la configuración del dispositivo, las sesiones administradas y el tráfico de red», afirma el investigador de seguridad Justin Moore.

El alcance actual de los ataques que explotan la falla va desde el reconocimiento hasta el despliegue clandestino -

  • Usar una secuencia de comandos de Python personalizada para acceder a una cuenta administrativa.
  • Instalar varios servidores web en directorios, incluido un backdoor de PHP capaz de ejecutar código PHP sin procesar o ejecutar código PHP arbitrario sin escribir nuevos archivos en el disco, así como un dropper bash que establece un shell web persistente.
  • Despliegue de malware como Concha en V y Spark RAT .
  • Uso de técnicas de pruebas de seguridad de aplicaciones fuera de banda (OAST) para validar la ejecución exitosa del código y los sistemas comprometidos con las huellas dactilares.
  • Ejecutar comandos para almacenar, comprimir y filtrar datos confidenciales, incluidos los archivos de configuración, las bases de datos internas del sistema y un volcado completo de PostgreSQL, a un servidor externo.

«La relación entre CVE-2026-1731 y CVE-2024-12356 destaca un desafío localizado y recurrente con la validación de los insumos dentro de distintas vías de ejecución», dijo la Unidad 42.

enlaces

«La validación insuficiente del CVE-2024-12356 se debió al uso de software de terceros (postgres), mientras que el problema de validación insuficiente del CVE-2026-1731 se produjo en el soporte remoto (RS) de BeyondTrust y en versiones anteriores del código base de acceso remoto privilegiado (PRA) de BeyondTrust».

Con el CVE-2024-12356 explotado por actores de amenazas relacionados con China, como Tifón de seda , la empresa de ciberseguridad señaló que el CVE-2026-1731 también podría ser un objetivo para actores de amenazas sofisticados.

El desarrollo se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) actualizado su entrada en el catálogo de vulnerabilidades explotadas conocidas (KEV) para el CVE-2026-1731 para confirmar que el error se ha aprovechado en campañas de ransomware.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.