⚡ Não perca: notícia importante no ar! ⚡
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Foram observados agentes de ameaças explorando uma falha crítica de segurança divulgada recentemente, afetando os produtos BeyondTrust Remote Support (RS) e Privileged Remote Access (PRA) para conduzir uma ampla gama de ações maliciosas, incluindo a implantação de VShell e
A vulnerabilidade, rastreada como CVE-2026-1731 (pontuação CVSS: 9,9), permite que invasores executem comandos do sistema operacional no contexto do usuário do site.
Em um relatório publicado na quinta-feira, a Unidade 42 da Palo Alto Networks disse que detectou a falha de segurança sendo explorada ativamente para reconhecimento de rede, implantação de web shell, comando e controle (C2), backdoor e instalações de ferramentas de gerenciamento remoto, movimento lateral e roubo de dados.
A campanha tem como alvo os setores de serviços financeiros, serviços jurídicos, alta tecnologia, ensino superior, atacado e varejo e saúde nos EUA, França, Alemanha, Austrália e Canadá.
A empresa de segurança cibernética descreveu a vulnerabilidade como um caso de falha de higienização que permite a um invasor aproveitar o script “thin-scc-wrapper” afetado que pode ser acessado por meio da interface WebSocket para injetar e executar comandos shell arbitrários no contexto do usuário do site.
“Embora esta conta seja distinta do usuário root, comprometê-la efetivamente concede ao invasor controle sobre a configuração do dispositivo, sessões gerenciadas e tráfego de rede”, disse o pesquisador de segurança Justin Moore.
O escopo atual de ataques que exploram a falha vai desde o reconhecimento até a implantação de backdoor -
Usando um script Python personalizado para obter acesso a uma conta administrativa.
Instalação de vários web shells em diretórios, incluindo um backdoor PHP que é capaz de executar código PHP bruto ou código PHP arbitrário sem gravar novos arquivos no disco, bem como um conta-gotas bash que estabelece um web shell persistente.
Implantação de malware como VShell e Spark RAT.
Usando técnicas de teste de segurança de aplicativos (OAST) fora de banda para validar a execução bem-sucedida de código e sistemas comprometidos por impressão digital.
Execução de comandos para preparar, compactar e exfiltrar dados confidenciais, incluindo arquivos de configuração, bancos de dados internos do sistema e um despejo PostgreSQL completo, para um servidor externo.
“A relação entre CVE-2026-1731 e CVE-2024-12356 destaca um desafio localizado e recorrente com validação de entrada em caminhos de execução distintos”, disse a Unidade 42.
"A validação insuficiente do CVE-2024-12356 foi usando software de terceiros (postgres), enquanto o problema de validação insuficiente do CVE-2026-1731 ocorreu no BeyondTrust Remote Support (RS) e versões mais antigas da base de código do BeyondTrust Privileged Remote Access (PRA)."
Com o CVE-2024-12356 explorado por atores de ameaças do nexo da China, como o Silk Typhoon, a empresa de segurança cibernética observou que o CVE-2026-1731 também poderia ser um alvo para atores de ameaças sofisticados.
O desenvolvimento ocorre no momento em que a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) atualiza sua entrada de catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) para CVE-2026-1731 para confirmar que o bug foi explorado em campanhas de ransomware.
A vulnerabilidade, rastreada como CVE-2026-1731 (pontuação CVSS: 9,9), permite que invasores executem comandos do sistema operacional no contexto do usuário do site.
Em um relatório publicado na quinta-feira, a Unidade 42 da Palo Alto Networks disse que detectou a falha de segurança sendo explorada ativamente para reconhecimento de rede, implantação de web shell, comando e controle (C2), backdoor e instalações de ferramentas de gerenciamento remoto, movimento lateral e roubo de dados.
A campanha tem como alvo os setores de serviços financeiros, serviços jurídicos, alta tecnologia, ensino superior, atacado e varejo e saúde nos EUA, França, Alemanha, Austrália e Canadá.
A empresa de segurança cibernética descreveu a vulnerabilidade como um caso de falha de higienização que permite a um invasor aproveitar o script “thin-scc-wrapper” afetado que pode ser acessado por meio da interface WebSocket para injetar e executar comandos shell arbitrários no contexto do usuário do site.
“Embora esta conta seja distinta do usuário root, comprometê-la efetivamente concede ao invasor controle sobre a configuração do dispositivo, sessões gerenciadas e tráfego de rede”, disse o pesquisador de segurança Justin Moore.
O escopo atual de ataques que exploram a falha vai desde o reconhecimento até a implantação de backdoor -
Usando um script Python personalizado para obter acesso a uma conta administrativa.
Instalação de vários web shells em diretórios, incluindo um backdoor PHP que é capaz de executar código PHP bruto ou código PHP arbitrário sem gravar novos arquivos no disco, bem como um conta-gotas bash que estabelece um web shell persistente.
Implantação de malware como VShell e Spark RAT.
Usando técnicas de teste de segurança de aplicativos (OAST) fora de banda para validar a execução bem-sucedida de código e sistemas comprometidos por impressão digital.
Execução de comandos para preparar, compactar e exfiltrar dados confidenciais, incluindo arquivos de configuração, bancos de dados internos do sistema e um despejo PostgreSQL completo, para um servidor externo.
“A relação entre CVE-2026-1731 e CVE-2024-12356 destaca um desafio localizado e recorrente com validação de entrada em caminhos de execução distintos”, disse a Unidade 42.
"A validação insuficiente do CVE-2024-12356 foi usando software de terceiros (postgres), enquanto o problema de validação insuficiente do CVE-2026-1731 ocorreu no BeyondTrust Remote Support (RS) e versões mais antigas da base de código do BeyondTrust Privileged Remote Access (PRA)."
Com o CVE-2024-12356 explorado por atores de ameaças do nexo da China, como o Silk Typhoon, a empresa de segurança cibernética observou que o CVE-2026-1731 também poderia ser um alvo para atores de ameaças sofisticados.
O desenvolvimento ocorre no momento em que a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) atualiza sua entrada de catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) para CVE-2026-1731 para confirmar que o bug foi explorado em campanhas de ransomware.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #falha #beyondtrust #usada #para #web #shells, #backdoors #e #exfiltração #de #dados
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário