security-5043368_1280.jpg

BeyondTrust corrige duas falhas críticas 

A BeyondTrust alertou ontem seus clientes sobre duas vulnerabilidades críticas em suas plataformas Remote Support (RS) e Privileged Remote Access (PRA), que poderiam permitir que atacantes não autenticados contornassem controles de acesso. As falhas, registradas como CVE-2026-40138 e CVE-2026-40139, afetam as versões 25.3.2 ou anteriores de ambos os produtos e exigem que uma configuração específica de autenticação esteja ativada para serem exploradas.

Detalhes das vulnerabilidades

A primeira vulnerabilidade (CVE-2026-40138) é uma fraqueza de autenticação inadequada no subsistema de autenticação, permitindo que invasores sem privilégios contornem os controles de acesso e acessem os dispositivos visados, incluindo contas com privilégios elevados. A segunda falha (CVE-2026-40139) decorre do processamento incorreto de solicitações de autenticação do BeyondTrust RS, possibilitando que atacantes remotos não autenticados obtenham acesso não autorizado a instâncias vulneráveis. A BeyondTrust também publicou correções para duas vulnerabilidades de alta gravidade (CVE-2026-40140 e CVE-2026-40141), que podem ser exploradas para causar negação de serviço ou acessar recursos restritos.

Correções e exposição

A empresa aplicou patches para todos os clientes em nuvem em 21 de abril de 2026. Clientes com instalações locais (self-hosted) devem aplicar o pacote de atualizações de segurança de abril para a versão afetada ou atualizar para RS 25.3.3 ou superior e PRA 25.3.3 ou superior. “As vulnerabilidades mais severas podem permitir que um atacante remoto não autenticado contorne controles de acesso e obtenha acesso não autorizado ao dispositivo em configurações específicas”, alertou a BeyondTrust em comunicado. O Shadowserver monitora atualmente quase 2.000 instâncias do BeyondTrust RS e PRA expostas online, mas não há informações sobre quantas já foram corrigidas.

Histórico de exploração

Embora a BeyondTrust não tenha compartilhado informações sobre a exploração dessas falhas antes da correção, outras vulnerabilidades em seus produtos já foram exploradas em ataques recentes. Em um incidente recente, uma falha crítica de execução remota de código (CVE-2026-1731) foi explorada para estabelecer canais WebSocket e implantar ransomware em sistemas vulneráveis. Há dois anos, o Departamento do Tesouro dos EUA teve sua rede comprometida em um incidente ligado ao grupo de ciberespionagem Silk Typhoon, patrocinado pela China. O grupo explorou duas vulnerabilidades zero-day (CVE-2024-12356 e CVE-2024-12686) para invadir os sistemas da BeyondTrust, roubar uma chave de API e comprometer 17 instâncias SaaS do Remote Support, incluindo a do Tesouro.