Actualización: Arctic Wolf Observa Campaña de Amenazas Dirigida a BeyondTrust Remote Support Tras la Disponibilidad del PoC de CVE-2026-1731

Resumen

Arctic Wolf informa sobre una campaña de amenaza en estado salvaje que abusa de una prueba de concepto de acceso público para CVE-2026-1731 para atacar despliegues de BeyondTrust Remote Support y Privileged Remote Access. La vulnerabilidad permite la inyección de comandos del sistema operativo sin autenticación en sistemas afectados. La actividad observada hasta ahora parece centrarse en la explotación oportunista de infraestructura de soporte remoto expuesta tras la liberación del PoC.

Investigación

La investigación vinculó el comportamiento sospechoso a intentos de explotación contra instancias autohospedadas de BeyondTrust Remote Support vulnerables a CVE-2026-1731. Arctic Wolf señaló patrones de red y telemetría de ejecución de comandos consistentes con la explotación al estilo PoC. El informe no reveló malware adicional o artefactos de carga posterior asociados con la actividad.

Mitigación

Aplique los parches del proveedor para CVE-2026-1731 de inmediato y reduzca la exposición limitando el acceso de red a los servicios de BeyondTrust Remote Support solo a redes de administración confiables. Aumente la supervisión para detectar la ejecución inesperada de comandos y el comportamiento anormal de las sesiones remotas, especialmente en dispositivos y interfaces de gestión expuestos a internet.

Respuesta

Si se sospecha de explotación, aísle el host afectado, confirme el nivel de parche y realice un alcance forense en busca de evidencia de ejecución de comandos del sistema operativo. Rote credenciales potencialmente expuestas y revise los registros de acceso remoto en busca de sesiones no autorizadas, acciones sospechosas de operadores y actividad administrativa anómala.