La CISA ha advertido que la vulnerabilidad CVE-2026-1731 en BeyondTrust Remote Support y BeyondTrust Privileged Remote Access se está explotando activamente y ya figura como utilizada en campañas de ransomware. Si tienes despliegues on-prem/self-hosted expuestos, el parcheo/actualización es urgente.
La Cybersecurity and Infrastructure Security Agency (CISA) ha elevado la urgencia alrededor de CVE-2026-1731, una vulnerabilidad de Remote Code Execution (RCE) previa a autenticación que afecta a BeyondTrust Remote Support y BeyondTrust Privileged Remote Access (PRA). El aviso es especialmente relevante porque la CISA no solo ha incluido el fallo en su catálogo Known Exploited Vulnerabilities (KEV), sino que además ha marcado explícitamente que es ‘conocida por usarse en campañas de ransomware‘. En la práctica, esto convierte el problema en una prioridad de respuesta inmediata para organizaciones que dependan de estos productos, sobre todo cuando están desplegados en entornos self-hosted o expuestos a Internet.
Según la información publicada, la vulnerabilidad se describe como un RCE pre-auth derivado de una OS command injection: un atacante puede enviar solicitudes de cliente especialmente manipuladas a endpoints vulnerables para provocar la ejecución de comandos en el sistema subyacente. Que sea ‘pre-auth’ implica que no hace falta iniciar sesión para intentar explotar el servicio, un factor que suele acelerar la explotación oportunista y el encadenamiento con otras técnicas típicas de intrusión.
El calendario conocido empeora el riesgo: BeyondTrust indicó que observó explotación desde el 31 de enero, lo que sugiere un periodo como 0-day de al menos una semana antes de la divulgación pública del 6 de febrero. Además, se señala que la disponibilidad de PoC llegó poco después, y que la explotación ‘en el mundo real’ comenzó casi de inmediato, un patrón habitual cuando el fallo permite ejecución remota y afecta a componentes perimetrales.
En cuanto a mitigación, hay diferencias importantes entre modelos de despliegue. En SaaS/cloud, BeyondTrust afirma que el parche se aplicó automáticamente el 2 de febrero, sin intervención manual del cliente. El mayor foco, por tanto, recae en instalaciones on-prem: se recomienda habilitar automatic updates, verificar el estado del parche en la interfaz ‘/appliance’, o instalarlo manualmente si procede. Las versiones objetivo citadas son Remote Support 25.3.2 y Privileged Remote Access 25.1.1 o superior. Para entornos muy antiguos (por ejemplo, RS v21.3 y PRA v22.1), se aconseja actualizar primero a una rama más reciente antes de aplicar el parche.
La CISA también fijó un listón operativo claro para organismos federales: un plazo muy corto para ‘aplicar el parche o dejar de usar el producto’. Aunque esa obligación aplica a agencias de EE. UU., el mensaje es extrapolable a cualquier organización: si el parche no puede desplegarse de inmediato, conviene reducir exposición (por ejemplo, retirando temporalmente el servicio de Internet o limitando accesos) hasta completar la actualización, porque el riesgo ya no es teórico: la explotación está confirmada y asociada a ransomware.
Más información
- BleepingComputer: https://www.bleepingcomputer.com/news/security/cisa-beyondtrust-rce-flaw-now-exploited-in-ransomware-attacks/?utm_source=openai
La entrada CISA alerta: una RCE en BeyondTrust ya se explota en ataques de ransomware se publicó primero en Una Al Día.
