La vulnerabilidad crítica de RCE sin autenticación está siendo utilizada activamente por atacantes para infiltrar redes, instalar webshells y robar datos. CISA ha ordenado parcheo inmediato en agencias federales de EE.UU.
Grupos de atacantes están explotando activamente una vulnerabilidad crítica de ejecución remota de código (RCE) sin autenticación en productos de BeyondTrust para desplegar backdoors, instalar webshells y exfiltrar datos. La falla, identificada como CVE-2026-1731, posee una puntuación CVSS de 9.9 sobre 10, reflejando su máxima severidad y la facilidad con la que puede ser explotada. La campaña ha afectado a organizaciones de sectores críticos como servicios financieros, legales, salud y alta tecnología en Estados Unidos, Europa y Australia.
El fallo de seguridad reside en el componente thin-scc-wrapper de las soluciones Remote Support (RS) y Privileged Remote Access (PRA) de BeyondTrust. Este componente, que gestiona las conexiones WebSocket entrantes, no sanitiza adecuadamente los datos de entrada, permitiendo a un atacante remoto no autenticado inyectar y ejecutar comandos arbitrarios del sistema operativo. Debido a su explotación activa confirmada, la Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) añadió la vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) el pasado 13 de febrero, ordenando a las agencias federales aplicar el parche correspondiente antes del 16 de febrero.
Desde la perspectiva del adversario, el mecanismo de explotación es alarmantemente simple. El ataque se inicia durante el handshake de una conexión WebSocket, donde el atacante envía un valor malformado en el parámetro remoteVersion. El script vulnerable utiliza un contexto aritmético de bash para procesar este valor, lo que permite la evaluación y ejecución de comandos embebidos, como una sustitución de comando $(command). Este vector de inyección no requiere ninguna interacción del usuario ni credenciales válidas, otorgando a los atacantes un punto de entrada directo y sigiloso a la red corporativa.
Según un análisis detallado de Unit 42 de Palo Alto Networks, la actividad post-explotación observada es multifacética y busca establecer persistencia a largo plazo. Los atacantes han sido vistos realizando reconocimiento de red, creando nuevas cuentas de administrador, y desplegando múltiples webshells en PHP, algunos de ellos variantes compactas de la conocida herramienta China Chopper. El objetivo final es el despliegue de cargas útiles más robustas, como el troyano de acceso remoto SparkRAT, escrito en Go, y el backdoor para Linux VShell, conocido por su capacidad de operar sin archivos y enmascararse como un servicio legítimo.
El alcance del riesgo es significativo, con telemetría de Cortex Xpanse identificando más de 16,400 instancias de BeyondTrust expuestas a Internet y potencialmente vulnerables en el momento del informe. Los actores de amenazas han utilizado el acceso obtenido para realizar movimientos laterales, buscar datos sensibles y, en última instancia, exfiltrarlos. La estrategia del adversario no se limita a comprometer un solo sistema, sino a utilizar la plataforma de acceso remoto como un pivote para comprometer toda la infraestructura de la víctima. Por ello, la recomendación no es solo aplicar el parche de seguridad liberado por BeyondTrust, sino también realizar una búsqueda activa de indicadores de compromiso (IoCs) para detectar cualquier actividad maliciosa que ya haya ocurrido. Las organizaciones en América Latina que utilizan estas plataformas de gestión de acceso deben priorizar esta actualización como crítica.
FUENTE ORIGINAL
Palo Alto Networks Unit 42↗CURADO POR
Alejandro Vargas