Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias BeyondTrust corrige fallos críticos en RS y PRA

BeyondTrust corrige fallos críticos en RS y PRA

por Dragora

BeyondTrust ha publicado una serie de actualizaciones de seguridad para corregir cuatro vulnerabilidades de alta gravedad que afectan a sus soluciones Remote Support (RS) y Privileged Remote Access (PRA). Dos de estos fallos han recibido una puntuación CVSS de 9.2, lo que los sitúa dentro de la categoría de vulnerabilidades críticas debido a que podrían permitir que atacantes no autenticados eludan los mecanismos de autenticación y obtengan acceso privilegiado a dispositivos vulnerables.

Aunque la compañía asegura que, hasta el momento, no existen evidencias de explotación activa, el historial reciente de ataques dirigidos contra productos BeyondTrust convierte esta actualización en una prioridad para administradores de sistemas y responsables de ciberseguridad. En años anteriores, vulnerabilidades similares fueron aprovechadas para desplegar web shells, instalar backdoors y comprometer infraestructuras corporativas.

Las nuevas fallas, identificadas como CVE-2026-40138, CVE-2026-40139, CVE-2026-40140 y CVE-2026-40141, afectan a componentes críticos relacionados con la autenticación, las comunicaciones de red y el control de acceso de las plataformas.

¿Qué es BeyondTrust y por qué estas vulnerabilidades son importantes?

BeyondTrust es uno de los proveedores más reconocidos de soluciones de gestión de accesos privilegiados (PAM) y soporte remoto seguro, utilizadas por organizaciones de todos los tamaños para administrar infraestructuras críticas, brindar asistencia técnica remota y controlar el acceso de administradores a servidores, estaciones de trabajo y dispositivos empresariales.

Debido a que estas plataformas gestionan credenciales privilegiadas y permiten el acceso remoto a sistemas sensibles, cualquier vulnerabilidad que afecte a su proceso de autenticación puede convertirse en un punto de entrada de alto impacto para los ciberdelincuentes.

Un ataque exitoso contra estos sistemas podría permitir el acceso a recursos internos, comprometer cuentas administrativas e incluso facilitar el movimiento lateral dentro de la red corporativa.

CVE-2026-40138: vulnerabilidad crítica de preautenticación

La vulnerabilidad CVE-2026-40138 recibió una puntuación CVSS de 9.2 y afecta tanto a BeyondTrust Remote Support como a Privileged Remote Access.

El problema se origina en una validación incorrecta de los datos utilizados durante el proceso de autenticación, permitiendo que un atacante situado en la red pueda eludir los controles de acceso antes incluso de iniciar sesión.

Si la explotación tiene éxito, el atacante podría:

  • Omitir el proceso normal de autenticación.
  • Obtener acceso no autorizado al dispositivo.
  • Comprometer cuentas con privilegios elevados.
  • Controlar funciones administrativas críticas.

BeyondTrust aclaró que este fallo únicamente puede explotarse cuando está habilitada una configuración específica relacionada con el sistema de autenticación.

CVE-2026-40139: acceso remoto sin autenticación

La segunda vulnerabilidad crítica, CVE-2026-40139, también obtuvo una puntuación CVSS de 9.2.

En este caso, el fallo afecta exclusivamente a BeyondTrust Remote Support y reside en el procesamiento inadecuado de solicitudes de autenticación.

La vulnerabilidad permite que un atacante remoto no autenticado pueda:

  • Evadir los mecanismos de autenticación.
  • Obtener acceso no autorizado.
  • Aprovechar privilegios administrativos disponibles en el sistema.

Al igual que la vulnerabilidad anterior, la explotación depende de determinadas configuraciones específicas implementadas por la organización.

CVE-2026-40140: denegación de servicio antes de la autenticación

BeyondTrust también corrigió la vulnerabilidad CVE-2026-40140, clasificada con una puntuación CVSS de 8.7.

El problema afecta al subsistema encargado de las comunicaciones de red y se produce por una validación insuficiente de la información enviada por el cliente.

Un atacante remoto no autenticado podría aprovechar esta debilidad para provocar una condición de denegación de servicio (DoS).

Como consecuencia, los dispositivos afectados podrían:

  • Interrumpir su funcionamiento.
  • Dejar de responder a solicitudes legítimas.
  • Afectar la disponibilidad del servicio para los usuarios.

Aunque esta vulnerabilidad no permite la ejecución de código ni la obtención de privilegios administrativos, sí puede provocar interrupciones importantes en entornos empresariales.

CVE-2026-40141: acceso a recursos fuera del alcance autorizado

La cuarta vulnerabilidad corregida corresponde a CVE-2026-40141, con una puntuación CVSS de 8.5.

En este caso, el fallo afecta a un componente de la aplicación web presente tanto en Remote Support como en Privileged Remote Access.

La vulnerabilidad deriva de una validación insuficiente de la información proporcionada por usuarios autenticados.

Un atacante con permisos limitados podría aprovechar esta debilidad para:

  • Acceder a información restringida.
  • Consultar recursos fuera de su ámbito de autorización.
  • Obtener datos que deberían permanecer protegidos.

BeyondTrust indicó que esta vulnerabilidad únicamente puede ser explotada por usuarios que ya dispongan de determinados permisos específicos dentro de la plataforma.

Inteligencia artificial utilizada durante la investigación

Uno de los aspectos más interesantes de este anuncio es que BeyondTrust confirmó haber utilizado modelos públicos de inteligencia artificial para reforzar sus procesos internos de análisis de seguridad.

Entre las herramientas empleadas destacan:

  • Anthropic Claude Opus 4.8.
  • Herramientas propias de investigación desarrolladas por BeyondTrust.

Según explicó la compañía, la IA fue utilizada como apoyo durante las evaluaciones internas para identificar posibles debilidades dentro del código y mejorar la detección temprana de vulnerabilidades.

Esta tendencia refleja cómo la inteligencia artificial comienza a desempeñar un papel cada vez más relevante tanto en la defensa como en la investigación de amenazas de ciberseguridad.

Versiones afectadas y actualizaciones disponibles

BeyondTrust confirmó que las siguientes versiones son vulnerables:

Remote Support (RS)

  • Versiones 25.3.2 y anteriores

Corregido en:

  • Remote Support 25.3.3 y versiones posteriores.

Privileged Remote Access (PRA)

  • Versiones 25.3.2 y anteriores

Corregido en:

  • Privileged Remote Access 25.3.3 y versiones posteriores.

La compañía recomienda actualizar inmediatamente a estas versiones para eliminar los riesgos asociados.

No existe explotación conocida, pero el riesgo sigue siendo elevado

Hasta el momento, BeyondTrust indicó que no tiene conocimiento de ataques activos que aprovechen estas cuatro vulnerabilidades.

Sin embargo, los antecedentes recientes invitan a actuar con rapidez.

Durante los últimos años, los productos Remote Support y Privileged Remote Access han sido objetivo frecuente de grupos de amenazas que explotaron vulnerabilidades críticas como:

  • CVE-2024-12356
  • CVE-2026-1731

Estos ataques permitieron instalar:

  • Web shells.
  • Backdoors.
  • Herramientas de persistencia.
  • Mecanismos para el movimiento lateral dentro de redes empresariales.

En varios incidentes, las vulnerabilidades fueron utilizadas como punto de acceso inicial para comprometer infraestructuras completas.

Recomendaciones para proteger los sistemas BeyondTrust

Los administradores de TI deberían aplicar de inmediato las siguientes medidas:

  • Actualizar Remote Support y Privileged Remote Access a la versión 25.3.3 o superior.
  • Revisar cuidadosamente la configuración de autenticación utilizada en la plataforma.
  • Limitar el acceso administrativo únicamente a usuarios autorizados.
  • Supervisar los registros de autenticación en busca de accesos anómalos.
  • Implementar autenticación multifactor (MFA) siempre que sea posible.
  • Restringir el acceso remoto mediante listas de control o VPN corporativas.
  • Auditar periódicamente los permisos asignados a cuentas privilegiadas.
  • Mantener monitorización continua mediante soluciones EDR o SIEM.

Estas prácticas reducen significativamente la probabilidad de explotación y mejoran la capacidad de detección frente a posibles intentos de compromiso.

La gestión de accesos privilegiados sigue siendo un objetivo prioritario

Las plataformas PAM continúan siendo uno de los objetivos preferidos por los ciberdelincuentes debido al elevado nivel de acceso que proporcionan.

Comprometer una solución como BeyondTrust puede permitir a un atacante controlar múltiples servidores, estaciones de trabajo y sistemas críticos desde un único punto de entrada.

Por ello, los fabricantes están reforzando continuamente sus mecanismos de autenticación, mientras que las organizaciones deben considerar estas plataformas como activos críticos dentro de su estrategia de ciberseguridad.

En fin…

La publicación de los parches para CVE-2026-40138, CVE-2026-40139, CVE-2026-40140 y CVE-2026-40141 demuestra la importancia de mantener actualizadas las soluciones de acceso remoto y gestión de privilegios. Aunque BeyondTrust no ha detectado explotación activa de estas vulnerabilidades, su elevada puntuación CVSS y el historial de ataques contra sus productos convierten esta actualización en una prioridad para cualquier organización que utilice Remote Support o Privileged Remote Access.

Aplicar las nuevas versiones, revisar la configuración de autenticación y fortalecer los controles de acceso son medidas esenciales para reducir el riesgo de compromiso. En un entorno donde las plataformas PAM son un objetivo constante para actores maliciosos, una estrategia de actualización proactiva y una supervisión continua resultan fundamentales para proteger la infraestructura empresarial frente a amenazas cada vez más sofisticadas.

Fuente: The Hacker News

You may also like

Dejar Comentario

Click to listen highlighted text!