No tienes artículos en tu carrito de compras.

Falla crítica en RCE

Bot-PC

Falla crítica presente en RCE

Se ha identificado una vulnerabilidad crítica de ejecución remota de código (RCE) previa a la autenticación en BeyondTrust Remote Support (RS) y Privileged Remote Access (PRA).

¿Cúal es la amenaza?

CVE-2026-1731 es una vulnerabilidad de RCE previa a la autenticación que afecta a los productos de Soporte Remoto (RS) y Acceso Remoto Privilegiado (PRA) de BeyondTrust. Al enviar solicitudes especialmente diseñadas a endpoints expuestos, un atacante puede ejecutar comandos arbitrarios a nivel de sistema operativo sin necesidad de iniciar sesión.

BeyondTrust Remote Support es ampliamente utilizado por los equipos de TI para diagnósticos y resolución de problemas remotos, mientras que el Acceso Remoto Privilegiado actúa como una puerta de enlace segura para acceder a sistemas internos confidenciales. Si se explota, esta vulnerabilidad podría permitir a un atacante tomar el control total de las máquinas afectadas, lo que facilita el robo de datos, el acceso no autorizado o la interrupción operativa.

La vulnerabilidad afecta a las versiones RS 25.3.1 y anteriores, y a las versiones PRA 24.3.4 y anteriores. Hay parches disponibles para RS 25.3.2 y posteriores, y PRA 25.1.1 y posteriores. BeyondTrust ya ha asegurado todas las instancias SaaS, pero los entornos locales aún requieren la aplicación manual de parches de inmediato.

¿Por qué es digno de mención?

Esta vulnerabilidad es de alto riesgo debido a la extensa base de clientes empresariales de BeyondTrust, que incluye muchas organizaciones de la lista Fortune 100, y al carácter privilegiado de las implementaciones de RS y PRA. Los atacantes están muy motivados para atacar herramientas que permiten el acceso remoto y permisos elevados.

Para agravar la preocupación, BeyondTrust se ha enfrentado a múltiples incidentes de seguridad de alto perfil en los últimos años. Fallas de día cero anteriores, como CVE‑2024‑12356 y CVE‑2024‑12686, se aprovecharon para robar una clave API de infraestructura y comprometer 17 instancias de SaaS de soporte remoto

¿Cuál es la exposición o riesgo?

Se descubrió que aproximadamente 8500 instancias locales de RS y PRA estaban expuestas a internet antes de la disponibilidad del parche. En combinación con las implementaciones en la nube, se estima que 11 000 instancias son visibles externamente, lo que crea una superficie de ataque considerable, especialmente dada la facilidad de explotación.

RCE

Datos de suma importancia:

  • Afecta: Implementaciones locales RS hasta la versión 25.3.1, PRA hasta la versión 24.3.4.
  • Sistemas en riesgo:  RS 25.3.2+ o PRA 25.1.1+
  • Propagación: BeyondTrust.
  • Entornos: SaaS
  • Impacto: Compromiso total del sistema, acceso no autorizado o exfiltración
  • Activo: Desde el 2024

Recomendaciones

  • Aplicar parche de inmediato: Actualizar RS a 25.3.2+ y PRA a 25.1.1+ en todos los sistemas locales.
  • Reducir exposición: si la aplicación de parches se retrasa, restrinja o elimine el acceso a Internet a las puertas de enlace RS/PRA y aplique controles estrictos de acceso a la red.
  • Aislar sistemas críticos: implementar la segmentación de la red para limitar las oportunidades de movimiento lateral.
  • Fortalecer la gestión de vulnerabildiad: mantener el descubrimiento y la evaluación periódicos de todas las herramientas de acceso remoto.
  • Mantenga las plataformas de terceros actualizadas: establezca cronogramas de aplicación de parches consistentes y habilite actualizaciones automáticas siempre que sea posible.
  • Aumente la supervisión:registre y alerte sobre solicitudes inusuales o no autenticadas dirigidas a puntos finales RS/PRA para detectar intentos de explotación de forma temprana.
Cobra Networks

Deja tu comentario

*