remote-support - RunkIntel

# Remote Support > [!critical] BeyondTrust Remote Support — plataforma de suporte remoto seguro com RCE crítico (CVSS 9.8) explorado massivamente via WebSocket em menos de 24h após divulgação do PoC público. ## Visão Geral **BeyondTrust Remote Support** é uma plataforma de suporte remoto corporativo utilizada por equipes de TI, MSPs (Managed Service Providers) e centrais de suporte para acessar dispositivos de usuários finais e servidores de forma segura e auditável. O produto compete diretamente com Bomgar, TeamViewer Enterprise e Cisco Webex Support, sendo escolhido por organizações que exigem trilhas de auditoria completas e controles de acesso granulares. Em fevereiro de 2026, [[cve-2026-1731|CVE-2026-1731]] (CVSS 9.8) revelou uma falha crítica no processamento de mensagens WebSocket: a válidação de entradas no protocolo de comunicação era insuficiente, permitindo que um atacante remoto não autenticado enviasse mensagens maliciosas e executasse código arbitrário no servidor de suporte. O impacto é severo — o servidor BeyondTrust Remote Support tipicamente tem acesso privilegiado a todos os endpoints gerenciados pela equipe de TI. Um compromisso do servidor equivale a acesso irrestrito a toda a infraestrutura monitorada. A GreyNoise registrou exploração massiva em menos de 24 horas após a públicação do PoC público. O contexto é especialmente preocupante porque o BeyondTrust havia acabado de lidar com a exploração do seu produto Privileged Remote Access pelo [[g0125-silk-typhoon|Silk Typhoon]], tornando a empresa um alvo de alta visibilidade para atores de ameaça. > [!latam] Relevância Brasil/LATAM > O BeyondTrust Remote Support é utilizado por MSPs e equipes de suporte corporativo no Brasil e LATAM. A exploração permite que atacantes usem o servidor comprometido como pivô para acessar todos os endpoints sob gestão, representando risco de comprometimento em massa de clientes gerenciados. ## Vulnerabilidades Conhecidas | CVE | CVSS | Exploração | Patch | Data | |-----|------|------------|-------|------| | [[cve-2026-1731\|CVE-2026-1731]] | 9.8 | Ativa - PoC público, exploração massiva via GreyNoise | Sim (25.3.2) | 2026-02 | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", exploit-type AS "Exploração", patch-date AS "Patch" FROM "vulnerabilities" WHERE contains(product, "Remote Support") SORT patch-date DESC ``` %% ## TTPs Associadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração do endpoint WebSocket - [[t1210-exploitation-of-remote-services|T1210 - Exploitation of Remote Services]] - movimentação lateral via servidor comprometido - [[t1072-software-deployment-tools|T1072 - Software Deployment Tools]] - uso do acesso remoto para distribuir malware ## Detecção e Defesa - Atualizar para BeyondTrust Remote Support 25.3.2 ou superior imediatamente - Restringir acesso ao serviço apenas a IPs corporativos conhecidos - Monitorar logs de WebSocket para padrões anômalos de mensagens - Aplicar [[m1050-exploit-protection|M1050 - Exploit Protection]] no servidor de suporte - Revisar e revogar credenciais armazenadas no servidor pós-patch - Aplicar [[m1026-privileged-account-management|M1026 - Privileged Account Management]] para limitar privilégios do processo ## Setores Afetados - [[technology|Tecnologia]] - MSPs e provedores de serviços gerenciados - [[financial|Financeiro]] - suporte técnico a sistemas críticos - [[healthcare|Saúde]] - suporte remoto a equipamentos e sistemas hospitalares - [[government|Governo]] - centrais de suporte de órgãos públicos ## Referências - [BeyondTrust Security Advisory - CVE-2026-1731](https://www.beyondtrust.com/trust-center/security-advisories) - [GreyNoise - Exploração Massiva CVE-2026-1731](https://www.greynoise.io) - [NVD - CVE-2026-1731](https://nvd.nist.gov/vuln/detail/CVE-2026-1731) ## Notas Relacionadas **Vendor:** [[_beyondtrust|BeyondTrust]] **Produto relacionado:** [[privileged-remote-access|Privileged Remote Access]] **CVEs:** [[cve-2026-1731|CVE-2026-1731]] **TTPs:** [[t1190-exploit-public-facing-application|T1190]], [[t1072-software-deployment-tools|T1072]] **Setores:** [[technology|Tecnologia]], [[financial|Financeiro]]