Una vulnerabilidad crítica en BeyondTrust Remote Support enfrenta un aumento en la actividad de amenazas, con piratas informáticos implementando puertas traseras SpartRAT y vShell y utilizando herramientas de administración remota para realizar reconocimientos. según una publicación de blog publicado el jueves por la Unidad 42 de Palo Alto Networks.
Varios usuarios de BeyondTrust Remote Support han sido objetivos confirmados y una variedad de industrias se han visto afectadas, incluidos servicios financieros, tecnología, educación superior, servicios legales y atención médica, entre otros.
La vulnerabilidad, rastreada como CVE-2026-1731es una falla de inyección de comandos del sistema operativo que también afecta a algunas versiones anteriores de BeyondTrust Privileged Remote Access.
La falla permite a un atacante ejecutar comandos arbitrarios en un servidor sin necesidad de credenciales ni interacción del usuario.
Investigadores de GreyNoise advirtió a finales de la semana pasada que la actividad de reconocimiento había comenzado a abordar la vulnerabilidad. La falla es una variante de CVE-2024-12356, que se vinculó con el hackeo del Departamento del Tesoro de EE. UU. en diciembre de 2024 por parte de Silk Typhoon, un actor vinculado al estado respaldado por China.
Los investigadores de VulnCheck dijeron que el aumento en la actividad de explotación no es sorprendente dado que los detalles de la falla y el código de explotación están disponibles públicamente.
«Los productos vulnerables están diseñados para permitir el acceso remoto, lo que los convierte en un objetivo de ataque atractivo tanto para atacantes patrocinados por el estado que buscan obtener acceso persistente a redes corporativas como para grupos con motivación financiera que buscan nuevas oportunidades de acceso inicial», dijo Caitlin Condon, vicepresidenta de investigación de VulnCheck.
Los investigadores de VulnCheck estiman que entre 4.000 y 10.000 sistemas son potencialmente vulnerables, dependiendo del sistema utilizado para la observación.
Más allá de la confianza soporte previamente confirmado para un número limitado de clientes afectados y aplicará parches el 2 de febrero a los clientes de SaaS. Se instó a los clientes autohospedados a aplicar parches manualmente si no habían configurado actualizaciones automáticas.
La Agencia de Seguridad de Infraestructura y Ciberseguridad añadió la falla a su Vulnerabilidades explotadas conocidas catálogo hace una semana.
Los investigadores de Defused informan de lo que parece ser una actividad de amenaza por parte de los intermediarios de acceso inicial, ya que los piratas informáticos están lanzando scripts utilizados para enumeraciones pesadas de entornos específicos, según el director ejecutivo Simo Kohonen.
Los investigadores de la Unidad 42 informan haber visto a piratas informáticos intentar instalar herramientas de administración remota como SimpleHelp y AnyDesk, así como herramientas de túnel como Cloudflare. También han confirmado haber visto robo de datos.
Fuente