A vulnerabilidade CVE-2026-1731, com pontuação 9.9, permite execução remota de comandos por requisições especialmente criadas e já aparece em exploração contra implantações expostas.
| Componente | BeyondTrust Remote Support (RS) e Privileged Remote Access (PRA), com exceção de implantações PRA 25.1 ou superiores, que não exigem correção para essa falha. |
| Vetor | Atacantes não autenticados enviam requisições especialmente criadas; a exploração observada abusa de get_portal_info para extrair o valor x-ns-company antes de estabelecer um canal WebSocket. |
| Impacto | Execução remota de comandos do sistema operacional no contexto do usuário do site, com risco confirmado de acesso não autorizado, exfiltração de dados e interrupção de serviço. |
| Prioridade | Aplicar a correção da BeyondTrust, revisar exposição externa de RS e PRA e investigar telemetria de WebSocket, enumeração de Active Directory e instalação de RMM SimpleHelp. |
| Artefatos | Foram observados uso de AdsiSearcher para inventário de computadores no Active Directory, PSexec para instalação do SimpleHelp em múltiplos dispositivos e requisições de sessão Impacket SMBv2 no início de ambientes afetados. |
| Catálogo KEV | A CISA adicionou CVE-2026-1731 ao catálogo Known Exploited Vulnerabilities em 13 de fevereiro de 2026, com prazo de correção para agências FCEB até 16 de fevereiro de 2026. |
A exploração ativa de CVE-2026-1731 coloca implantações do BeyondTrust Remote Support e do BeyondTrust Privileged Remote Access em uma janela de risco curta, porque a falha permite que um atacante remoto não autenticado acione execução de comandos por meio de requisições especialmente criadas. A pontuação 9.9 reflete uma condição crítica: o componente afetado fica em um caminho de acesso remoto privilegiado, frequentemente publicado para suporte, administração e acesso operacional. Quando esse tipo de serviço é exposto à internet, a diferença entre publicação de correção, prova de conceito e varredura real pode ser medida em horas, não em ciclos tradicionais de mudança.
A exploração observada não se limita a uma sondagem genérica de banner. A cadeia descrita envolve abuso de get_portal_info para obter o valor x-ns-company e, em seguida, estabelecer um canal WebSocket. Esse detalhe é importante para defesa porque fornece um ponto de pivô em logs de aplicação, proxy reverso, WAF e sensores de rede. O tráfego pode se parecer com interação legítima com o portal até que a sequência de reconhecimento, extração de metadado e abertura do canal seja correlacionada com origem externa, ausência de sessão válida, padrões repetidos de requisição ou tentativas vindas de infraestrutura de VPN comercial.
O impacto confirmado pela descrição técnica é a execução de comandos do sistema operacional no contexto do usuário do site. Isso não deve ser tratado apenas como falha de disponibilidade ou erro de validação: a execução no servidor de acesso remoto cria uma posição com valor operacional alto, pois o sistema costuma ter integração com identidades, sessões de suporte, rotas internas e credenciais indiretas. O material analisado também indica risco de acesso não autorizado, exfiltração de dados e interrupção de serviço, desde que a exploração seja bem-sucedida e o ambiente afetado exponha esses recursos ao atacante.
A atividade também entrou no radar de resposta governamental. A CVE-2026-1731 foi adicionada ao catálogo Known Exploited Vulnerabilities da CISA em 13 de fevereiro de 2026, com exigência de correção para agências federais civis dos Estados Unidos até 16 de fevereiro de 2026. A inclusão no KEV não muda a condição técnica da falha, mas altera a prioridade operacional: equipes que mantêm RS ou PRA devem tratar a correção como trabalho de contenção de exposição, acompanhada de hunting retroativo, e não apenas como atualização programada.
O fluxo de exploração descrito começa antes da execução de comandos propriamente dita. Os atacantes consultam o portal afetado, abusam de get_portal_info e extraem x-ns-company, um valor que ajuda a caracterizar a instância alvo. Depois disso, a cadeia estabelece um canal WebSocket. Para operadores defensivos, essa ordem sugere que a exploração pode deixar uma trilha em camadas diferentes: requisições HTTP iniciais ao endpoint de informação, resposta contendo metadado de organização, abertura de WebSocket e, em caso de sucesso, efeitos posteriores no host, como processos anômalos ou execução de utilitários administrativos.
A condição central é a ausência de autenticação para acionar o caminho vulnerável. O contexto informa que um atacante remoto não autenticado pode alcançar execução de comandos por requisições criadas para explorar a falha. Isso reduz o custo de exploração contra serviços acessíveis externamente, porque não exige credenciais iniciais, sessão de usuário ou posição interna. A defesa, portanto, não deve depender apenas de controles de identidade no aplicativo; deve validar exposição de rede, regras de acesso, filtragem de requisições e aplicação da versão corrigida.
A exploração em ambiente real foi acompanhada de tentativas de persistência e expansão dentro da rede. Pesquisadores da Arctic Wolf detectaram ataques contra implantações de Remote Support e Privileged Remote Access em que os operadores tentaram implantar a ferramenta de gerenciamento remoto SimpleHelp para persistência. Também foram observados uso de AdsiSearcher para obter inventário de computadores no Active Directory, execução do SimpleHelp em múltiplos dispositivos por meio de PSexec e requisições de sessão Impacket SMBv2 no início de ambientes afetados. Esses artefatos indicam que, em algumas intrusões, a falha no perímetro foi seguida por enumeração de domínio, distribuição de ferramenta de administração remota e tentativa de alcançar outros sistemas.
Houve ainda atividade de reconhecimento pouco tempo depois da disponibilidade de uma prova de conceito. A GreyNoise observou sondagens direcionadas à vulnerabilidade em menos de 24 horas após a disponibilidade do PoC, e um único IP respondeu por 86% das sessões de reconhecimento observadas naquele recorte. Esse IP foi associado a um serviço comercial de VPN hospedado por provedor em Frankfurt. O dado não prova autoria nem escopo total da campanha, mas demonstra que operações de varredura já estabelecidas incorporaram rapidamente verificações para CVE-2026-1731 em seus conjuntos de teste.
A superfície principal envolve instâncias do BeyondTrust Remote Support e do BeyondTrust Privileged Remote Access em versões que exigem correção para CVE-2026-1731. O contexto informa uma exceção específica: todas as versões PRA 25.1 ou superiores não precisam de patch para essa vulnerabilidade. Para ambientes mistos, isso exige inventário cuidadoso, porque a presença de uma versão PRA não vulnerável não elimina risco em servidores RS, appliances antigos, instâncias paralelas, ambientes de teste, nós de alta disponibilidade ou sistemas publicados em DNS alternativo.
O risco é maior quando o serviço afetado está acessível a partir da internet ou de segmentos amplos da rede corporativa. Produtos de suporte remoto e acesso privilegiado frequentemente concentram funções administrativas, fluxos de sessão e integrações com diretórios. Mesmo quando a execução ocorre no contexto do usuário do site, esse contexto pode oferecer visibilidade ou alcance suficiente para apoiar reconhecimento, preparação de persistência e movimentação para ativos internos. A cadeia observada com SimpleHelp, AdsiSearcher, PSexec e Impacket SMBv2 reforça que a investigação não deve terminar no appliance ou servidor inicial.
A mesma atualização do catálogo KEV citou outras vulnerabilidades exploradas ativamente, mas elas pertencem a superfícies diferentes. CVE-2026-20700 afeta Apple iOS, macOS, tvOS, watchOS e visionOS por restrição inadequada de operações dentro dos limites de buffer de memória, com possibilidade de execução de código por atacante que já tenha capacidade de escrita em memória. CVE-2025-15556 afeta o mecanismo de atualização do Notepad++ por download de código sem verificação de integridade, permitindo interceptação ou redirecionamento de tráfego de atualização para instalador controlado por atacante. CVE-2025-40536 envolve bypass de controle de segurança no SolarWinds Web Help Desk. CVE-2024-43468 é uma injeção SQL no Microsoft Configuration Manager com possibilidade de execução de comandos no servidor ou banco de dados subjacente por requisições especialmente criadas.
- Instâncias BeyondTrust RS expostas ou acessíveis por segmentos amplos devem ser priorizadas para correção e hunting.
- Implantações BeyondTrust PRA abaixo de 25.1 devem ser verificadas contra a versão corrigida aplicável; PRA 25.1 ou superior não exige correção para essa falha.
- Ambientes com sinais de SimpleHelp, enumeração de Active Directory ou tráfego SMBv2 incomum após acesso ao portal devem ser tratados como possível pós-exploração.
- Serviços de borda, proxies, WAFs e balanceadores que encaminham tráfego WebSocket para BeyondTrust devem ser incluídos na análise.
A investigação deve começar pela linha do tempo do portal BeyondTrust. Procure requisições a get_portal_info, respostas ou cabeçalhos que envolvam x-ns-company e conexões WebSocket estabelecidas logo depois, principalmente quando a origem não corresponde a padrões conhecidos de clientes, técnicos de suporte ou integrações legítimas. A sequência é mais relevante do que um único evento isolado: uma consulta de informação seguida por canal WebSocket e por atividade anômala no host tem peso maior do que uma requisição única sem continuidade.
Em endpoint e identidade, a atividade descrita aponta para sinais pós-exploração. O uso de AdsiSearcher para inventário de computadores deve ser correlacionado com o host de acesso remoto, contas de serviço, horários de exploração e volume de consultas ao Active Directory. A execução de PSexec para distribuir SimpleHelp em múltiplos dispositivos é um sinal forte de tentativa de persistência ou administração remota não autorizada, especialmente se partir de servidor BeyondTrust, conta incomum ou horário fora do padrão operacional. Requisições Impacket SMBv2 no início de ambientes afetados devem ser cruzadas com autenticações, criação de serviço remoto e conexões laterais.
Na camada de rede, a presença de infraestrutura de VPN comercial em varreduras não deve ser bloqueada apenas por país ou provedor, mas analisada como parte de padrões de sessão. O contexto indica que uma operação de scanning estabelecida adicionou rapidamente verificações de CVE-2026-1731; isso significa que tráfego de reconhecimento pode aparecer antes de exploração bem-sucedida. Equipes devem separar varredura, tentativa de exploração e comprometimento confirmado por mudanças no sistema. Essa distinção reduz falsos positivos e evita que um simples hit em WAF seja tratado como intrusão completa sem evidência de execução ou pós-exploração.
- Requisições a
get_portal_infode origens externas incomuns, principalmente em sequência com WebSocket. - Acesso ou extração do valor
x-ns-companyfora de fluxos normais do portal. - Instalação ou execução do SimpleHelp em sistemas onde a ferramenta não faz parte do padrão autorizado.
- Uso de
AdsiSearcherpara inventário de computadores logo após atividade suspeita no BeyondTrust. - Execução remota associada a
PSexecpartindo de servidor de suporte remoto ou conta não usual. - Sessões
Impacket SMBv2próximas ao início da linha do tempo de comprometimento.
A primeira ação é aplicar a correção da BeyondTrust nas versões afetadas e confirmar explicitamente quais instâncias RS e PRA existem no ambiente. A exceção para PRA 25.1 ou superior deve ser documentada por inventário, não presumida por nome do serviço. Sistemas publicados externamente devem receber prioridade, seguidos por instâncias internas com acesso a redes sensíveis, diretórios corporativos ou ativos administrativos. Quando a janela de atualização exigir mudança controlada, a exposição deve ser reduzida por regras de acesso, filtragem em borda e restrição temporária de origens, sem substituir o patch.
Depois da correção, a validação precisa incluir hunting retroativo. Como houve exploração em ambiente real, corrigir sem investigar deixa lacuna sobre acessos anteriores. A equipe deve revisar logs desde a divulgação e, quando possível, desde antes da observação de varreduras, procurando a sequência de reconhecimento, WebSocket e efeitos no host. Qualquer evidência de SimpleHelp implantado sem autorização, enumeração de Active Directory, execução via PSexec ou tráfego Impacket SMBv2 deve acionar investigação de contenção, incluindo isolamento do host afetado, revisão de contas usadas, coleta de artefatos e verificação de persistência.
A mitigação também deve contemplar outros itens do catálogo KEV citados no mesmo ciclo, mas sem misturar impactos. Para CVE-2026-20700, o foco é atualizar plataformas Apple afetadas, especialmente dispositivos de usuários visados ou com perfil de alto risco. Para CVE-2025-15556, usuários do Notepad++ devem atualizar para a versão 8.9.1 ou posterior, considerar desabilitar o autoatualizador WinGUp durante a instalação e validar que o utilitário de atualização se comunica apenas com servidores legítimos. Para SolarWinds Web Help Desk e Microsoft Configuration Manager, a prioridade é aplicar as correções correspondentes, revisar exposição e buscar requisições compatíveis com bypass de funcionalidade restrita ou injeção SQL, conforme cada produto.
Por fim, a resposta deve evitar dependência exclusiva de assinatura de exploit. A exploração descrita combina falha crítica em produto de acesso remoto, reconhecimento automatizado rápido e atividade pós-exploração com ferramentas administrativas. Controles mais robustos surgem da correlação entre inventário, versão corrigida, exposição de serviço, logs de aplicação, telemetria de processo e eventos de identidade. O encerramento da investigação deve exigir evidência positiva: versão corrigida aplicada, ausência de sequência suspeita em logs relevantes, inexistência de RMM não autorizado, revisão de contas potencialmente expostas e confirmação de que conexões laterais não persistiram após a contenção.
- Aplicar o patch da BeyondTrust em RS e PRA afetados e registrar a versão efetiva de cada instância.
- Confirmar se qualquer PRA está abaixo de 25.1; versões PRA 25.1 ou superiores não exigem correção para
CVE-2026-1731. - Restringir exposição externa de portais BeyondTrust enquanto a correção é validada.
- Investigar retroativamente
get_portal_info,x-ns-company, WebSocket, SimpleHelp,AdsiSearcher,PSexeceImpacket SMBv2. - Remover ferramentas RMM não autorizadas, revisar contas envolvidas e validar se houve acesso a outros sistemas.
- Cumprir o prazo de correção do KEV para ambientes sujeitos à exigência da CISA: 16 de fevereiro de 2026 para
CVE-2026-1731.
0 Comentários