Uma vulnerabilidade crítica no software de suporte remoto da BeyondTrust está sendo explorada ativamente por hackers para implantar backdoors perigosos em sistemas comprometidos. A falha, rastreada como CVE-2026-1731, possui pontuação CVSS 9.9 e permite a execução de comandos no sistema sem necessidade de autenticação prévia.
O que mudou agora
Analistas da Unit 42 da Palo Alto Networks identificaram uma campanha de exploração ativa que já atingiu mais de 10.600 instâncias expostas da solução BeyondTrust. A campanha, que visa setores como serviços financeiros, saúde, educação superior e tecnologia em países como Estados Unidos, França, Alemanha, Austrália e Canadá, escala rapidamente do acesso inicial ao controle total do ambiente.
Vetor e exploração
O ataque começa quando um invasor abre uma conexão WebSocket para o appliance e envia um valor malformado remoteVersion formatado como a[$(cmd)]0 durante o handshake. O script thin-scc-wrapper processa esse valor usando contextos aritméticos do bash, que tratam a entrada como expressões executáveis, causando a execução silenciosa do comando injetado.
Os atacantes seguem com a implantação de web shells, instalando um backdoor PHP compacto via função eval() e um shell multi-vetor chamado aws.php. Um dropper bash então planta um backdoor protegido por senha no diretório web, injeta temporariamente uma diretiva maliciosa de configuração do Apache e imediatamente sobrescreve o arquivo de configuração no disco para ocultar todas as evidências.
Backdoors principais e contexto histórico
Dois backdoors estão no centro desta campanha. O SparkRAT é um Trojan de acesso remoto de código aberto baseado em Go, visto pela primeira vez em 2023 em campanhas ligadas ao grupo de ameaça DragonSpark. O VShell é um backdoor Linux conhecido por execução de memória fileless e sua capacidade de se disfarçar como um serviço normal do sistema, dificultando a detecção.
O CVE-2026-1731 conecta-se historicamente ao CVE-2024-12356, uma falha anterior da BeyondTrust explorada pelo Silk Typhoon (APT27) na violação do Tesouro dos EUA em 2024. A mesma fraqueza recorrente — validação de entrada insuficiente — aparece em ambas as vulnerabilidades, sinalizando que plataformas de acesso remoto permanecem um alvo principal para atores de ameaça sofisticados.
Impacto e resposta
A Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) adicionou o CVE-2026-1731 ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) em 13 de fevereiro de 2026, exigindo correção urgente para agências federais e instando organizações do setor privado a agir imediatamente.
A BeyondTrust aconselha clientes com implantações self-hosted a aplicar manualmente os patches disponíveis — Remote Support 25.3.2 e Privileged Remote Access 25.1.1 — e a atualizar versões mais antigas abaixo da 21.3 (RS) ou 22.1 (PRA) antes da aplicação do patch.
Recomendações defensivas
As organizações devem priorizar a identificação e correção de instâncias expostas do BeyondTrust Remote Support e Privileged Remote Access. A monitoração de logs deve focar em conexões WebSocket incomuns e atividade de execução de comandos a partir do componente thin-scc-wrapper. A implementação de controles de rede para restringir o acesso aos endpoints de gerenciamento apenas a redes confiáveis é essencial, assim como a revisão de contas de serviço e permissões associadas a essas soluções.