Se ha observado que los actores de amenazas explotan una falla de seguridad crítica recientemente revelada que afecta los productos BeyondTrust Remote Support (RS) y Privileged Remote Access (PRA) para llevar a cabo una amplia gama de acciones maliciosas, incluida la implementación de VShell y
La vulnerabilidad, rastreada como CVE-2026-1731 (Puntuación CVSS: 9,9), permite a los atacantes ejecutar comandos del sistema operativo en el contexto del usuario del sitio.
En un informe publicado el jueves, la Unidad 42 de Palo Alto Networks dijo que detectó la falla de seguridad que se estaba explotando activamente en la naturaleza para reconocimiento de red, implementación de shell web, comando y control (C2), instalación de herramientas de administración remota y puerta trasera, movimiento lateral y robo de datos.
La campaña se ha dirigido a los sectores de servicios financieros, servicios legales, alta tecnología, educación superior, venta mayorista y minorista, y atención médica en Estados Unidos, Francia, Alemania, Australia y Canadá.
La compañía de ciberseguridad describió la vulnerabilidad como un caso de falla de desinfección que permite a un atacante aprovechar el script «thin-scc-wrapper» afectado al que se puede acceder a través de la interfaz WebSocket para inyectar y ejecutar comandos de shell arbitrarios en el contexto del usuario del sitio.
«Si bien esta cuenta es distinta del usuario raíz, comprometerla efectivamente otorga al atacante control sobre la configuración del dispositivo, las sesiones administradas y el tráfico de la red», dijo el investigador de seguridad Justin Moore.
El alcance actual de los ataques que explotan la falla va desde el reconocimiento hasta el despliegue de puerta trasera.
- Usar una secuencia de comandos Python personalizada para obtener acceso a una cuenta administrativa.
- Instalar múltiples shells web en directorios, incluida una puerta trasera PHP que es capaz de ejecutar código PHP sin procesar o ejecutar código PHP arbitrario sin escribir nuevos archivos en el disco, así como un cuentagotas bash que establece un shell web persistente.
- Implementación de malware como VShell y Spark RAT.
- Utilizar técnicas de pruebas de seguridad de aplicaciones (OAST) fuera de banda para validar la ejecución exitosa del código y los sistemas comprometidos con las huellas digitales.
- Ejecutar comandos para organizar, comprimir y filtrar datos confidenciales, incluidos archivos de configuración, bases de datos internas del sistema y un volcado completo de PostgreSQL, a un servidor externo.
«La relación entre CVE-2026-1731 y CVE-2024-12356 destaca un desafío localizado y recurrente con la validación de entradas dentro de distintas vías de ejecución», dijo la Unidad 42.
«La validación insuficiente de CVE-2024-12356 se debió al uso de software de terceros (postgres), mientras que el problema de validación insuficiente de CVE-2026-1731 ocurrió en BeyondTrust Remote Support (RS) y versiones anteriores del código base de BeyondTrust Privileged Remote Access (PRA)».
Con CVE-2024-12356 explotado por actores de amenazas del nexo con China como Silk Typhoon, la compañía de ciberseguridad señaló que CVE-2026-1731 también podría ser un objetivo para actores de amenazas sofisticados.
El desarrollo se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) actualizó su entrada de catálogo de Vulnerabilidades Explotadas Conocidas (KEV) para CVE-2026-1731 para confirmar que el error ha sido explotado en campañas de ransomware.