# CVE-2026-1731 - BeyondTrust Remote Support RCE Pré-Autenticação em Campanhas de Ransomware > [!critical] CISA KEV - Explorado Ativamente em Ransomware > Vulnerabilidade crítica de execução remota de código pré-autenticação no BeyondTrust Remote Support. Com CVSS 9.8 e PoC público disponível desde 6 de fevereiro de 2026, a CISA adicionou ao KEV em 13/02/2026. Grupos de ransomware estão explorando ativamente para ganho inicial de acesso privilegiado a redes corporativas. ## Visão Geral O BeyondTrust Remote Support é uma plataforma de suporte remoto corporativo utilizada por equipes de helpdesk, MSPs (Managed Service Providers) e centros de operações de TI em organizações de todos os portes. Diferentemente de ferramentas de acesso remoto genéricas, o BeyondTrust Remote Support é projetado específicamente para ambientes corporativos com controles de auditoria e integração com diretórios de identidade - o que torna seu comprometimento especialmente valioso para atacantes. A CVE-2026-1731 é uma falha de injeção de comando no componente de processamento de requisições de autenticação inicial. O servidor BeyondTrust aceita e processa requisições maliciosas antes de qualquer verificação de credencial, permitindo que um atacante externo execute comandos arbitrários no sistema operacional subjacente com privilégios de serviço. A públicação de um PoC funcional em 6 de fevereiro de 2026 desencadeou exploração em massa documentada por múltiplas firmas de inteligência. O impacto operacional de um comprometimento bem-sucedido é severo: o BeyondTrust Remote Support tipicamente possui acesso privilegiado a estações de trabalho e servidores de toda a organização, credenciais armazenadas para sistemas gerenciados e integração com plataformas PAM (Privileged Access Management). Grupos de ransomware como [[scattered-spider]] e operadores de [[lockbit-ransomware]] foram identificados explorando esta vulnerabilidade como vetor de acesso inicial. ## Produtos Afetados | Produto | Versões Vulneráveis | Versão Corrigida | |---------|--------------------|--------------------| | BeyondTrust Remote Support | < 24.3.1 | 24.3.1 | | BeyondTrust Remote Support (on-premises) | Todas as versões < 24.3.1 | Contato com BeyondTrust Support | ## Análise Técnica A vulnerabilidade se manifesta no endpoint de autenticação do servidor BeyondTrust Remote Support. A injeção ocorre através de parâmetros HTTP que são passados sem sanitização adequada para funções de sistema subjacentes. O servidor processa esses parâmetros no contexto de inicialização de sessão, anterior à verificação de credenciais, criando uma janela de execução de código completamente não autenticada. O fluxo de exploração típico observado em campanhas de ransomware: 1. **Descoberta** - Escaneamento de portas padrão do BeyondTrust (443, 8200) via Shodan/Censys/Masscan 2. **Exploração** - Envio de requisição com payload de command injection no parâmetro de autenticação 3. **Estabelecimento de persistência** - Instalação de agente de C2 (Cobalt Strike, Brute Ratel, Sliver) 4. **Reconhecimento interno** - Uso do acesso privilegiado do BeyondTrust para mapear a rede 5. **Movimento lateral** - Conexão a sistemas gerenciados via funcionalidade legítima do Remote Support 6. **Exfiltração e ransomware** - Deploy do encriptador após extração de dados sensíveis **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190]], [[t1219-remote-access-tools|T1219 - Remote Access Tools]], [[t1059-command-scripting-interpreter|T1059]], [[t1021-remote-services|T1021 - Remote Services]] ## Contexto LATAM > [!latam] Impacto na América Latina > O BeyondTrust Remote Support é amplamente adotado por MSPs e grandes corporações no Brasil, especialmente no setor financeiro e tecnológico. MSPs brasileiros representam alvos de alto valor pois o comprometimento de um único MSP pode fornecer acesso a dezenas ou centenas de clientes finais - padrão conhecido como ataque de "supply chain MSP". Grupos de ransomware como LockBit historicamente alvejam prestadores de serviços de TI no Brasil como porta de entrada para alvos finais. A ANPD e o CTIR Gov devem ser notificados em caso de confirmação de comprometimento envolvendo dados pessoais de cidadãos brasileiros. ## Mitigação 1. **Atualizar emergêncialmente** para BeyondTrust Remote Support 24.3.1 ou superior 2. Restringir acesso ao servidor BeyondTrust por allowlist de IPs - apenas redes de gerência autorizadas 3. Revisar logs de autenticação retroativamente (mínimo 30 dias) em busca de sessões não autorizadas 4. Verificar integridade do servidor: presença de processos filhos incomuns, arquivos novos em diretórios de serviço 5. Rotacionar **todas** as credenciais de sistemas gerenciados pelo BeyondTrust (considere que podem estar comprometidas) 6. Implementar monitoramento de [[t1219-remote-access-tools|T1219]] e alertas para sessões de suporte remoto fora do horário comercial **Mitigação MITRE:** [[m1030-network-segmentation|M1030 - Network Segmentation]], [[m1026-privileged-account-management|M1026 - Privileged Account Management]] ## Referências - [NVD - CVE-2026-1731](https://nvd.nist.gov/vuln/detail/CVE-2026-1731) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [BleepingComputer - BeyondTrust RCE exploited in ransomware](https://www.bleepingcomputer.com/news/security/cisa-beyondtrust-rce-flaw-now-exploited-in-ransomware-attacks/) - [BeyondTrust Security Advisory](https://www.beyondtrust.com/security-advisory)