Según investigadores de seguridad, una vulnerabilidad crítica en BeyondTrust Remote Support se enfrenta a un aumento en la actividad de reconocimiento en preparación para una explotación más específica.
El defecto, rastreado como CVE-2026-1731es una vulnerabilidad de inyección de comandos del sistema operativo que también afecta a algunas versiones anteriores de los productos Privileged Remote Access de la empresa.
Si se explota con éxito, un atacante no autenticado puede ejecutar comandos arbitrarios en un servidor sin ninguna credencial ni interacción del usuario, advierten los investigadores.
La falla es una variante de la misma vulnerabilidad utilizada por el grupo de amenazas vinculado al estado Silk Typhoon contra el Departamento del Tesoro de Estados Unidos. según una publicación de blog de GreyNoise. Los piratas informáticos robaron Documentos no clasificados en el hackeo del Departamento del Tesoro de 2024. después de obtener acceso a las estaciones de trabajo.
BeyondTrust parcheó automáticamente a los clientes de la nube contra la falla. Los clientes autohospedados deberán aplicar actualizaciones, según una publicación de blog publicado el 6 de febrero.
El miércoles comenzó una oleada de actividad de reconocimiento, en su mayoría vinculada a una única dirección IP conectada a una VPN comercial alojada en Frankfurt, Alemania, según GreyNoise. El escaneo comenzó apenas un día después del lanzamiento de una prueba de concepto.
Los investigadores de Defused también informar un aumento en la actividad de sondeo pero tenga en cuenta que cualquier explotación es limitada.
Ryan Dewhurst, jefe de inteligencia de amenazas de watchTowr, notó la primera explotación salvaje de la falla de BeyondTrust. en una publicación del jueves en X.
«Las investigaciones y los intentos de explotación han sido bastante limitados hasta ahora», dijeron los investigadores de watchTowr a Cybersecurity Dive a través de un portavoz. «Sin embargo, es posible que veamos un aumento de la actividad en los próximos días».