Detectan explotación activa de fallo crítico en BeyondTrust para desplegar web shells y exfiltrar datos
La vulnerabilidad, con una puntuación de 9.9 en la escala CVSS, permite a los atacantes tomar el control de dispositivos de acceso remoto y ha sido vinculada a campañas de ransomware.
Investigadores de seguridad han alertado sobre la explotación masiva de una vulnerabilidad crítica en los productos BeyondTrust Remote Support (RS) y Privileged Remote Access (PRA). El fallo, identificado como CVE-2026-1731, presenta una de las calificaciones de riesgo más altas (9.9/10), permitiendo a actores de amenazas ejecutar comandos arbitrarios en el sistema operativo de los dispositivos afectados.
Anatomía del ataque: Fallo en la desinfección de datos
De acuerdo con un informe detallado de Palo Alto Networks Unit 42, la vulnerabilidad reside en un fallo de desinfección de entradas en el script denominado "thin-scc-wrapper". Los atacantes aprovechan una interfaz de WebSocket para inyectar comandos de shell, logrando así operar bajo el contexto del usuario del sitio.
Aunque este acceso no otorga privilegios de "root" de forma inmediata, los expertos señalan que es suficiente para que el atacante obtenga el control total sobre la configuración del dispositivo, las sesiones gestionadas y el tráfico de red.
Actividades maliciosas detectadas
La unidad de investigación ha observado una amplia gama de acciones hostiles una vez que el sistema es comprometido:
Instalación de Backdoors: Despliegue de múltiples "web shells" y herramientas de acceso remoto como VShell y Spark RAT.
Exfiltración de Datos: Los atacantes han logrado comprimir y extraer archivos de configuración, bases de datos internas y volcados completos de PostgreSQL hacia servidores externos.
Movimiento Lateral: Uso de sistemas comprometidos como base para explorar y atacar otras partes de la red corporativa.
Sectores y regiones bajo la mira
La campaña de explotación actual es de carácter global y ha impactado sectores críticos, incluyendo servicios financieros, firmas legales, alta tecnología, educación superior, salud y comercio minorista. Los incidentes se han concentrado principalmente en Estados Unidos, Alemania, Francia, Australia y Canadá.
Vínculos con Ransomware y ciberespionaje
La gravedad de la situación ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a actualizar su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), confirmando que este fallo ya está siendo utilizado en campañas de ransomware.
Asimismo, se han trazado paralelismos con vulnerabilidades anteriores explotadas por grupos de ciberespionaje vinculados a China (como Silk Typhoon), lo que sugiere que el fallo CVE-2026-1731 es ahora un objetivo prioritario para actores estatales y cibercriminales de alto nivel.
Recomendación de seguridad: Se insta a las organizaciones que utilizan soluciones de BeyondTrust a aplicar de forma inmediata los parches de seguridad proporcionados por el fabricante. Dado que la vulnerabilidad permite la persistencia mediante web shells, se recomienda realizar una auditoría profunda de los sistemas para detectar posibles indicadores de compromiso (IoCs) previos a la actualización.