Atualização: Arctic Wolf Observa Campanha de Ameaças Alvejando o BeyondTrust Remote Support Após Disponibilidade do PoC CVE-2026-1731

Resumo

A Arctic Wolf relata uma campanha de ameaça ativa que explora um proof-of-concept disponível publicamente para CVE-2026-1731 para atingir implementações do BeyondTrust Remote Support e Privileged Remote Access. A falha permite a injeção de comandos no sistema operacional sem autenticação em sistemas afetados. A atividade observada até agora parece focada na exploração oportunista da infraestrutura de suporte remoto exposta após a liberação do PoC.

Investigação

A investigação vinculou comportamentos suspeitos a tentativas de exploração contra instâncias auto-hospedadas do BeyondTrust Remote Support vulneráveis ao CVE-2026-1731. A Arctic Wolf observou padrões de rede e telemetria de execução de comandos consistentes com exploração de estilo PoC. O relatório não divulgou malwares adicionais ou artefatos de payloads subsequentes associados à atividade.

Mitigação

Aplique patches do fornecedor para CVE-2026-1731 imediatamente e reduza a exposição limitando o acesso à rede aos serviços de BeyondTrust Remote Support apenas a redes administrativas confiáveis. Aumente o monitoramento para execução de comandos inesperados e comportamento anômalo de sessões remotas, especialmente em dispositivos conectados à internet e interfaces de gerenciamento.

Resposta

Se for suspeitado de exploração, isole o host afetado, confirme o nível de patch e realize escopo forense para evidências de execução de comandos no OS. Altere as credenciais potencialmente expostas e reveja os logs de acesso remoto para sessões não autorizadas, ações suspeitas de operadores e atividades administrativas anômalas.