Uma vulnerabilidade crítica de execução remota de código (RCE), que não requer autenticação, em appliances BeyondTrust Remote Support e Privileged Remote Access está sendo explorada ativamente, após a divulgação de uma prova de conceito (PoC) na internet.
Identificada como
CVE-2026-1731
, com pontuação CVSS quase máxima de 9,9, a falha afeta o BeyondTrust Remote Support nas versões 25.3.1 e anteriores, além do Privileged Remote Access nas versões 24.3.4 e anteriores.
A BeyondTrust revelou a vulnerabilidade em 6 de fevereiro, alertando que invasores não autenticados podem explorá-la enviando requisições especialmente manipuladas ao sistema.
Segundo a empresa, “BeyondTrust Remote Support e versões antigas do Privileged Remote Access contêm uma vulnerabilidade crítica de execução remota de código pré-autenticação que pode ser acionada por requisições especialmente criadas.”
A exploração bem-sucedida permite a um atacante remoto executar comandos no sistema operacional com privilégios do usuário do site, sem necessidade de autenticação ou interação do usuário.
Isso pode resultar em comprometimento total do sistema, incluindo acesso não autorizado, exfiltração de dados e interrupção dos serviços.
Em 2 de fevereiro de 2026, a BeyondTrust aplicou correções automaticamente em todas as instâncias SaaS (Software as a Service) do Remote Support e Privileged Remote Access.
No entanto, clientes com equipamentos on-premises precisam instalar os patches manualmente.
A vulnerabilidade foi descoberta pela empresa Hacktron, que a reportou de forma responsável à BeyondTrust em 31 de janeiro.
A Hacktron estima que cerca de 11 mil instâncias do BeyondTrust Remote Support estão expostas na internet, sendo aproximadamente 8,5 mil delas em ambientes locais.
Ryan Dewhurst, líder de inteligência de ameaças da watchTowr, informou que os ataques começaram a ocorrer no mundo real e destacou que dispositivos sem correção devem ser considerados comprometidos.
Em sua publicação na plataforma X, ele afirmou: “Durante a noite, observamos a primeira exploração em ambiente real da BeyondTrust em nossos sensores globais.
Atacantes estão abusando do comando get_portal_info para extrair o valor X-Ns-Company antes de estabelecer um canal WebSocket.”
O surto de ataques teve início um dia após a publicação do exploit PoC no GitHub, que explora o mesmo endpoint /get_portal_info.
O método visa portais BeyondTrust expostos para obter o identificador ‘X-Ns-Company’, usado para criar uma conexão WebSocket com o dispositivo vulnerável, permitindo a execução remota de comandos.
Organizações que utilizam appliances BeyondTrust Remote Support ou Privileged Remote Access em ambientes locais devem aplicar imediatamente os patches disponíveis ou atualizar para as versões mais recentes.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...