BeyondTrust va publicar el 6 de febrer de 2026 l’avís de seguretat BT26-02, en què reconeix una vulnerabilitat crítica d’execució remota de codi (RCE) sense autenticació prèvia en dos dels seus productes d’accés remot: Remote Support (RS) i Privileged Remote Access (PRA). El defecte s’ha identificat com a CVE-2026-1731 i ha estat objecte d’explotació activa, incloent-hi campanyes de ransomware.
Què és la vulnerabilitat
CVE-2026-1731 és una vulnerabilitat d’injecció de comandes del sistema operatiu (OS command injection) localitzada al component thin-scc-wrapper. Un atacant remot i no autenticat pot enviar peticions especialment dissenyades —normalment sobre una connexió WebSocket— per executar comandes arbitràries del sistema operatiu en el context de l’usuari del servei. Això es tradueix en un compromís total del servidor: shell remot, lectura de fitxers, execució de processos i moviment lateral cap a la resta de la infraestructura.
La puntuació de gravetat és de les més altes possibles: CVSS v4.0 de 9.9 (amb referències a CVSS 9.8 a la NVD). El vector és de xarxa, sense necessitat de credencials ni d’interacció de l’usuari, cosa que la fa especialment perillosa per a servidors exposats a Internet.
A qui afecta
Estan afectades les versions de Remote Support 25.3.1 i anteriors i de Privileged Remote Access 24.3.4 i anteriors. El risc recau sobretot en les instàncies on-premises accessibles des d’Internet. Investigadors de Hacktron AI, que van descobrir el defecte mitjançant anàlisi de variants assistida per IA, van identificar unes 8.500 instàncies on-premises exposades; telemetria posterior de Unit 42 (Palo Alto Networks) va elevar la xifra a més de 16.400 instàncies potencialment vulnerables.
Aquests productes s’utilitzen habitualment en help desks, MSPs i equips de suport per accedir a sistemes de clients amb privilegis elevats, de manera que un compromís pot tenir efecte en cascada sobre múltiples organitzacions.
Gravetat i explotació real
El defecte es va explotar com a zero-day des de finals de gener de 2026. El 13 de febrer de 2026, CISA el va afegir al seu catàleg de vulnerabilitats explotades conegudes (KEV) i posteriorment va actualitzar l’entrada per activar l’indicador de ransomware, confirmant-ne l’ús en operacions de xifratge i extorsió.
Unit 42 va documentar activitat real associada a les famílies de programari maliciós SparkRAT i VShell, amb atacants centrats en el robatori de dades: en diversos compromisos investigats es van intentar exfiltrar fitxers de configuració, bases de dades internes i fins i tot un bolcat complet de PostgreSQL cap a servidors de comandament i control (C2). A més, existeix una prova de concepte pública, cosa que redueix dràsticament la barrera per a l’explotació massiva.
Mitigació i pedaç
La recomanació és actualitzar immediatament a les versions corregides que BeyondTrust publica a l’avís BT26-02. Com a mesures addicionals:
- Restringir l’accés a les consoles RS/PRA, evitant exposar-les directament a Internet (fer servir VPN, llistes de control d’accés o segmentació).
- Revisar registres i connexions WebSocket buscant peticions anòmales i els indicadors de compromís publicats per Unit 42.
- Assumir compromís si el servidor va estar exposat sense pedaç: rotar credencials, revisar bolcats de base de dades i buscar artefactes de SparkRAT/VShell.
Atès que es tracta d’una entrada del catàleg KEV de CISA amb marcador de ransomware, les organitzacions sota directiva federal han d’aplicar la correcció dins del termini obligatori, i la resta ho hauria de tractar com a prioritat màxima.