Uma vulnerabilidade crítica no software de acesso remoto da BeyondTrust está sendo explorada ativamente por cibercriminosos, permitindo que atacantes não autenticados obtenham controle total de domínios corporativos. A falha, identificada como CVE-2026-1731, recebeu pontuação máxima de 9.8 no CVSS e afeta versões self-hosted dos produtos Remote Support (RS) e Privileged Remote Access (PRA).
O que mudou agora
Embora patches tenham sido disponibilizados em fevereiro para instâncias em nuvem, clientes com implantações self-hosted precisam aplicar manualmente as correções. A Arctic Wolf documentou campanhas em andamento onde atacantes exploram a vulnerabilidade para injetar comandos do sistema operacional via requisições HTTP especialmente manipuladas.
Vetor e exploração
A exploração ocorre sem necessidade de autenticação, permitindo execução remota de código com privilégios do usuário do site. Após o acesso inicial, os invasores implantam binários do SimpleHelp Remote Access através de processos Bomgar da BeyondTrust executados sob a conta SYSTEM.
Os binários são salvos no diretório ProgramData com nomes como remote access.exe, servindo como backdoor persistente. Os atacantes então utilizam comandos como net user e net group para criar contas de domínio privilegiadas, concedendo a si mesmos direitos de Enterprise Admin ou Domain Admin.
Impacto e alcance
As versões afetadas incluem:
- Remote Support (RS): versões 25.3.1 e anteriores
- Privileged Remote Access (PRA): versões 24.3.4 e anteriores
Para reconhecimento do ambiente comprometido, os invasores executam a função AdsiSearcher para enumerar computadores do Active Directory, além de comandos de descoberta de rede como net share, ipconfig /all e systeminfo.
Repercussão e resposta
A CISA (Agência de Segurança de Infraestrutura e Cibersegurança dos EUA) já adicionou a vulnerabilidade ao seu catálogo de falhas exploradas ativamente. A agência recomenda que implantações self-hosted executando versões mais antigas que RS 21.3 ou PRA 22.1 sejam primeiro atualizadas antes de aplicar o patch específico.
Investigadores da Arctic Wolf observaram o uso de PSExec e requisições de configuração de sessão SMBv2 do Impacket, sugerindo propagação coordenada da ferramenta SimpleHelp através de múltiplos hosts em rede.
Recomendações para administradores
Especialistas em segurança recomendam ações imediatas:
- Aplicar os patches BT26-02-RS (para RS) ou BT26-02-PRA (para PRA) conforme apropriado
- Revisar sistemas em busca de binários SimpleHelp não autorizados
- Monitorar a criação de contas administrativas suspeitas
- Analisar tráfego de rede incomum relacionado a sessões SMB
- Verificar logs de acesso aos sistemas BeyondTrust para atividades anômalas
Clientes de soluções cloud-based da BeyondTrust já foram automaticamente protegidos desde 2 de fevereiro de 2026, mas organizações com implantações locais permanecem em risco até a aplicação manual das correções.