CISA añadidoCVE-2026-1731 a su catálogo de vulnerabilidades explotadas conocidas el 13 de febrero de 2026. Las agencias federales deben parchear los sistemas BeyondTrust afectados antes del final del día 16 de febrero. La falla permite la ejecución remota de código no autenticado en productos de soporte remoto y acceso remoto privilegiado.
BeyondTrust presta servicios a más de 20.000 clientes, incluido el 75 % de las empresas Fortune 100. La vulnerabilidad afecta a Remote Support 25.3.1 y versiones anteriores, además de Privileged Remote Access 24.3.4 y versiones anteriores.Los atacantes explotanInyección de comandos del sistema operativo sin autenticación ni interacción del usuario.
Los investigadores de Hacktron descubrieron el problema y lo divulgaron de manera responsable el 31 de enero de 2026. Identificaron alrededor de 11 000 instancias de soporte remoto expuestas en línea, de las cuales 8500 son locales. BeyondTrust parchó las instancias SaaS automáticamente el 2 de febrero.
Estado de explotación
AtalayaRyan Dewhurst informó sobre ataques activos el 12 de febrero. Los dispositivos sin parches deben tratarse como comprometidos. CISA emitió la Directiva Operativa Vinculante 22-01 que exige correcciones federales en un plazo de tres días.
BeyondTrust advirtió que la explotación compromete el sistema, roba datos e interrumpe el servicio. La compañía lanzó parches el 6 de febrero mediante el aviso BT26-02. Los usuarios locales deben actualizar manualmente.
El escaneo de reconocimiento comenzó dentro de las 24 horas posteriores a la publicación de PoC en GitHub. GreyNoise detectó sondas dirigidas a instancias vulnerables a nivel mundial. Los atacantes se centran primero en las implementaciones orientadas a Internet.
Versiones y parches afectados
| Producto | Versiones vulnerables | Versiones fijas |
|---|---|---|
| Soporte remoto (RS) | 25.3.1 y anteriores | 25.3.2+ |
| Acceso remoto privilegiado (PRA) | 24.3.4 y anteriores | 24.3.5+rápido7 |
La puntuación CVSS v4 es de 9,9 puntos críticos. El vector de ataque solo requiere acceso a la red. No se necesitan privilegios para comprometer todo el usuario del sitio.
Requisitos federales
- Las agencias FCEB parchean antes del cierre de operaciones del 16 de febrero.
- Siga BOD 22-01 para servicios en la nube.
- Suspenda inmediatamente los productos que no se pueden parchear.
- Informar el cumplimiento a CISA.
Contexto histórico
El grupo chino Silk Typhoon aprovechó los días cero anteriores de BeyondTrust en 2024. Los atacantes violaron el Tesoro de EE. UU. utilizando CVE-2024-12356 y CVE-2024-12686. Robaron claves API y atacaron 17 instancias de SaaS, incluidas las oficinas de sanciones.
Hacienda confirmó violación de red a través de plataforma de Soporte Remoto. Las revisiones de inversión extranjera del CFIUS también apuntaron. CISA también emitió directivas de emergencia en ese momento.
Desglose técnico
- La falla en el manejo de solicitudes carece de validación de entrada.
- Las solicitudes maliciosas de WebSocket activan la inyección de comandos.
- Se ejecuta como contexto de usuario del sitio.
- Conduce al acceso no autorizado y a la exfiltración.
Acciones recomendadas
- Haga un inventario de todas las instancias de BeyondTrust de inmediato.
- Aplique parches a implementaciones locales.
- Asuma la exposición en sistemas conectados a Internet.
- Supervise los registros para detectar ejecuciones anómalas de comandos.
- Segmente las herramientas de acceso remoto desde redes críticas.
BeyondTrust brinda asesoramiento completo enBT26-02 Boletín de Seguridad.horizonte3
Preguntas frecuentes
¿Qué es CVE-2026-1731?
RCE de autenticación previa mediante inyección de comandos del sistema operativo en BeyondTrust RS y PRA.
¿Quién debe parchear antes del 16 de febrero?
Agencias del Poder Ejecutivo Civil Federal según BOD 22-01.
¿Son seguras las instancias de SaaS?
Sí, BeyondTrust los parchó automáticamente el 2 de febrero.
¿Cuántas instancias expuestas?
11.000 en total, 8.500 locales por Hacktron.
¿Ataques pasados de BeyondTrust?
El tifón de la seda azotó el Tesoro de Estados Unidos en 2024 mediante días cero.
¿Puntuación CVSS?
9.9 crítico sin necesidad de autenticación.