🌟 Atualização imperdível para quem gosta de estar bem informado!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A BeyondTrust alertou os clientes para corrigirem duas falhas críticas de segurança em seu software de Suporte Remoto (RS) e Acesso Remoto Privilegiado (PRA) que poderiam permitir que invasores contornassem a autenticação.
A primeira vulnerabilidade, rastreada como CVE-2026-40138, afeta a plataforma de desktop remoto e assistência RS da empresa (versões 25.3.2 ou anteriores) e a solução de segurança cibernética corporativa PRA (versões 25.3.2 ou anteriores). Esta vulnerabilidade decorre de uma falha de autenticação inadequada no subsistema de autenticação, e a exploração bem-sucedida permite que invasores sem privilégios contornem os controles de acesso e acessem dispositivos direcionados, incluindo contas com privilégios elevados.
O segundo (CVE-2026-40139) corrigido esta semana decorre do processamento inadequado de solicitações de autenticação BeyondTrust RS, permitindo que invasores remotos não autenticados obtenham acesso não autorizado a instâncias vulneráveis.
Em ambos os casos, BeyondTrust observou que a exploração também requer a ativação de uma configuração de autenticação específica, mas não compartilhou mais detalhes.
BeyondTrust também lançou atualizações de segurança para dois problemas de segurança de alta gravidade (CVE-2026-40140 e CVE-2026-40141) que podem ser explorados para acionar negação de serviço ou acessar recursos restritos em instâncias RS e PRA não corrigidas.
“As vulnerabilidades mais graves podem permitir que um invasor remoto não autenticado contorne os controles de acesso e obtenha acesso não autorizado ao dispositivo sob configurações específicas. Vulnerabilidades adicionais podem permitir interrupção do serviço, acesso não intencional a dados e, sob configurações distintas, acesso elevado por um usuário autenticado que pode afetar a integridade do sistema”, disse BeyondTrust.
"Um patch foi aplicado a todos os clientes de nuvem RS/PRA a partir de 21 de abril de 2026. Os clientes auto-hospedados devem aplicar o patch cumulativo de segurança de abril para a versão afetada se sua instância não estiver inscrita em atualizações automáticas ou atualização para RS 25.3.3 e superior ou PRA 25.3.3 e superior."
O grupo de vigilância de segurança da Internet Shadowserver agora rastreia quase 2.000 instâncias BeyondTrust RS e PRA expostas on-line, mas não há detalhes sobre quantas são honeypots ou já foram corrigidas contra essas falhas.
Instâncias BeyondTrust RS e PRA expostas online (Shadowserver)
Falhas do BeyondTrust exploradas em ataques
Embora a BeyondTrust não tenha compartilhado nenhuma informação sobre o abuso dessas falhas em ataques antes do patch, outras falhas de segurança que afetam o software de suporte remoto da empresa foram exploradas livremente nos últimos anos.
Mais recentemente, uma vulnerabilidade crítica de execução remota de código de pré-autenticação que afeta dispositivos de suporte remoto e acesso remoto privilegiado (CVE-2026-1731) foi explorada para estabelecer canais WebSocket e implantar ransomware em sistemas vulneráveis.
Outras falhas do BeyondTrust foram transformadas em armas para comprometer os sistemas das agências governamentais dos EUA. Por exemplo, há dois anos, o Departamento do Tesouro dos EUA revelou que a sua rede tinha sido pirateada num incidente ligado ao notório grupo de ciberespionagem Silk Typhoon, apoiado pelo Estado chinês.
Acredita-se que o Silk Typhoon tenha explorado dois dias zero (CVE-2024-12356 e CVE-2024-12686) para violar os sistemas da BeyondTrust e usar uma chave de API roubada para comprometer 17 instâncias de SaaS de suporte remoto, incluindo a instância do Tesouro.
O grupo de hackers chinês também teve como alvo o Comitê de Investimento Estrangeiro nos Estados Unidos (CFIUS), que analisa os investimentos estrangeiros em busca de riscos à segurança nacional, e o Escritório de Controle de Ativos Estrangeiros (OFAC), que administra os programas de sanções dos EUA.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
A primeira vulnerabilidade, rastreada como CVE-2026-40138, afeta a plataforma de desktop remoto e assistência RS da empresa (versões 25.3.2 ou anteriores) e a solução de segurança cibernética corporativa PRA (versões 25.3.2 ou anteriores). Esta vulnerabilidade decorre de uma falha de autenticação inadequada no subsistema de autenticação, e a exploração bem-sucedida permite que invasores sem privilégios contornem os controles de acesso e acessem dispositivos direcionados, incluindo contas com privilégios elevados.
O segundo (CVE-2026-40139) corrigido esta semana decorre do processamento inadequado de solicitações de autenticação BeyondTrust RS, permitindo que invasores remotos não autenticados obtenham acesso não autorizado a instâncias vulneráveis.
Em ambos os casos, BeyondTrust observou que a exploração também requer a ativação de uma configuração de autenticação específica, mas não compartilhou mais detalhes.
BeyondTrust também lançou atualizações de segurança para dois problemas de segurança de alta gravidade (CVE-2026-40140 e CVE-2026-40141) que podem ser explorados para acionar negação de serviço ou acessar recursos restritos em instâncias RS e PRA não corrigidas.
“As vulnerabilidades mais graves podem permitir que um invasor remoto não autenticado contorne os controles de acesso e obtenha acesso não autorizado ao dispositivo sob configurações específicas. Vulnerabilidades adicionais podem permitir interrupção do serviço, acesso não intencional a dados e, sob configurações distintas, acesso elevado por um usuário autenticado que pode afetar a integridade do sistema”, disse BeyondTrust.
"Um patch foi aplicado a todos os clientes de nuvem RS/PRA a partir de 21 de abril de 2026. Os clientes auto-hospedados devem aplicar o patch cumulativo de segurança de abril para a versão afetada se sua instância não estiver inscrita em atualizações automáticas ou atualização para RS 25.3.3 e superior ou PRA 25.3.3 e superior."
O grupo de vigilância de segurança da Internet Shadowserver agora rastreia quase 2.000 instâncias BeyondTrust RS e PRA expostas on-line, mas não há detalhes sobre quantas são honeypots ou já foram corrigidas contra essas falhas.
Instâncias BeyondTrust RS e PRA expostas online (Shadowserver)
Falhas do BeyondTrust exploradas em ataques
Embora a BeyondTrust não tenha compartilhado nenhuma informação sobre o abuso dessas falhas em ataques antes do patch, outras falhas de segurança que afetam o software de suporte remoto da empresa foram exploradas livremente nos últimos anos.
Mais recentemente, uma vulnerabilidade crítica de execução remota de código de pré-autenticação que afeta dispositivos de suporte remoto e acesso remoto privilegiado (CVE-2026-1731) foi explorada para estabelecer canais WebSocket e implantar ransomware em sistemas vulneráveis.
Outras falhas do BeyondTrust foram transformadas em armas para comprometer os sistemas das agências governamentais dos EUA. Por exemplo, há dois anos, o Departamento do Tesouro dos EUA revelou que a sua rede tinha sido pirateada num incidente ligado ao notório grupo de ciberespionagem Silk Typhoon, apoiado pelo Estado chinês.
Acredita-se que o Silk Typhoon tenha explorado dois dias zero (CVE-2024-12356 e CVE-2024-12686) para violar os sistemas da BeyondTrust e usar uma chave de API roubada para comprometer 17 instâncias de SaaS de suporte remoto, incluindo a instância do Tesouro.
O grupo de hackers chinês também teve como alvo o Comitê de Investimento Estrangeiro nos Estados Unidos (CFIUS), que analisa os investimentos estrangeiros em busca de riscos à segurança nacional, e o Escritório de Controle de Ativos Estrangeiros (OFAC), que administra os programas de sanções dos EUA.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
#samirnews #samir #news #boletimtec #beyondtrust #alerta #sobre #falhas #críticas #em #software #de #acesso #remoto
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário