BeyondTrust corrige falhas críticas de auth bypass no Remote Support e PRA
7 de Julho de 2026 Atualizado em 7 de Julho de 2026

A BeyondTrust alertou clientes para corrigirem duas falhas críticas de segurança em seus softwares Remote Support (RS) e Privileged Remote Access (PRA), que poderiam permitir que invasores burlassem a autenticação.

A primeira vulnerabilidade, identificada como CVE-2026-40138 , afeta a plataforma de assistência remota e desktop da empresa, nas versões 25.3.2 ou anteriores, e a solução corporativa de cibersegurança PRA, também nas versões 25.3.2 ou anteriores.

O problema decorre de uma fraqueza de autenticação inadequada no subsistema de autenticação. Se explorada com sucesso, ela permite que invasores sem privilégios contornem os controles de acesso e alcancem dispositivos-alvo, inclusive contas com privilégios elevados.

A segunda falha, CVE-2026-40139 , corrigida nesta semana, resulta do processamento inadequado de solicitações de autenticação do BeyondTrust RS e pode permitir que atacantes remotos não autenticados obtenham acesso não autorizado a instâncias vulneráveis.

Nos dois casos, a BeyondTrust informou que a exploração também exige que uma configuração específica de autenticação esteja habilitada, mas não divulgou mais detalhes.

A empresa também liberou atualizações de segurança para outros dois problemas de alta severidade, CVE-2026-40140 e CVE-2026-40141 , que podem ser explorados para provocar negação de serviço ou acessar recursos restritos em instâncias de RS e PRA que não tenham sido corrigidas.

“As vulnerabilidades mais graves podem permitir que um atacante remoto não autenticado burle os controles de acesso e obtenha acesso não autorizado ao equipamento sob configurações específicas. Outras vulnerabilidades podem causar interrupção de serviço, acesso indevido a dados e, em configurações distintas, acesso elevado por um usuário autenticado, o que pode afetar a integridade do sistema”, disse a BeyondTrust.

“A correção já foi aplicada a todos os clientes em nuvem de RS/PRA em 21 de abril de 2026. Clientes com instalação própria devem aplicar o pacote de correções de abril da versão afetada, caso sua instância não esteja inscrita em atualizações automáticas, ou atualizar para RS 25.3.3 ou superior e PRA 25.3.3 ou superior.”

A BeyondTrust informou que todas as falhas foram identificadas internamente durante avaliações de segurança em andamento, com apoio de modelos de inteligência artificial (AI) disponíveis publicamente, como o Anthropic Claude Opus 4.8, além de suas próprias ferramentas proprietárias de pesquisa.

A empresa não informou se as falhas já estão sendo exploradas ativamente. No entanto, vulnerabilidades nos produtos RS e PRA, como a CVE-2024-12356 e a CVE-2026-1731 , já foram exploradas repetidas vezes no passado para a implantação de web shells e backdoors, o que torna essencial que os usuários apliquem os patches o quanto antes.

Mais recentemente, uma vulnerabilidade crítica de execução remota de código antes da autenticação, que afetava os equipamentos Remote Support e Privileged Remote Access, identificada como CVE-2026-1731 , foi explorada para estabelecer canais WebSocket e instalar ransomware em sistemas vulneráveis.

Outras falhas da BeyondTrust também foram transformadas em arma para comprometer sistemas de agências do governo dos Estados Unidos. Há dois anos, por exemplo, o Departamento do Tesouro dos EUA revelou que sua rede havia sido invadida em um incidente ligado ao notório grupo de ciberespionagem Silk Typhoon, apoiado pelo Estado chinês.

Acredita-se que o Silk Typhoon tenha explorado duas zero-days, CVE-2024-12356 e CVE-2024-12686 , para invadir os sistemas da BeyondTrust e usar uma chave de API roubada para comprometer 17 instâncias de Remote Support SaaS, incluindo a do Tesouro.

O grupo de hackers chinês também mirou o Committee on Foreign Investment in the United States (CFIUS), que analisa investimentos estrangeiros sob a ótica da segurança nacional, e o Office of Foreign Assets Control (OFAC), responsável por administrar os programas de sanções dos Estados Unidos.

Publicidade

Anuncie no CaveiraTech e coloque sua marca na frente de milhares de profissionais de cybersecurity

Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...