La empresa BeyondTrust ha publicado actualizaciones para los productos Remote Support (RS) y Privileged Remote Access (PRA) que corrigen cuatro vulnerabilidades, dos de las cuales han recibido una calificación crítica CVSS 9.2. Los fallos más graves permiten que un atacante no autenticado eluda los mecanismos de control de acceso y obtenga acceso no autorizado al dispositivo, incluidas cuentas con privilegios elevados. Se ven afectadas las versiones RS 25.3.2 y anteriores, así como PRA 25.3.2 y anteriores; las correcciones están disponibles a partir de la versión 25.3.3 para ambos productos. Las organizaciones que utilizan estas soluciones deben actualizar sin demora.
Análisis técnico de las vulnerabilidades
Las cuatro vulnerabilidades afectan a los subsistemas de autenticación e interacción de red de los productos BeyondTrust. Tres de ellas son previas a la autenticación: para su explotación no se requiere autorización previa.
Vulnerabilidades críticas de omisión de autenticación
- CVE-2026-40138 (CVSS 9.2) — vulnerabilidad previa a la autenticación en el subsistema de autenticación de Remote Support y Privileged Remote Access. Está provocada por una validación incorrecta de los datos de autenticación. Permite que un atacante con acceso de red al dispositivo eluda el control de acceso y obtenga acceso no autorizado, incluidas cuentas con privilegios elevados.
- CVE-2026-40139 (CVSS 9.2) — vulnerabilidad previa a la autenticación en el subsistema de autenticación de Remote Support. Está relacionada con un procesamiento incorrecto de las solicitudes de autenticación. Permite que un atacante remoto no autenticado eluda el control de acceso y obtenga acceso al dispositivo con privilegios elevados.
Matiz clave: la explotación satisfactoria de ambas vulnerabilidades críticas solo es posible con una configuración de autenticación determinada. Esto reduce de forma significativa la superficie de ataque, aunque no elimina la necesidad de actualizar: las organizaciones no siempre controlan qué configuraciones están activas en su entorno.
Vulnerabilidades de criticidad media
- CVE-2026-40140 (CVSS 8.7) — vulnerabilidad previa a la autenticación en el subsistema de comunicación de red. La validación insuficiente de los datos de entrada del cliente permite que un atacante remoto no autenticado provoque una condición de denegación de servicio, afectando a la disponibilidad del dispositivo.
- CVE-2026-40141 (CVSS 8.5) — vulnerabilidad en el componente de la aplicación web de Remote Support y Privileged Remote Access. La validación insuficiente de la entrada del usuario permite que un atacante autenticado con privilegios limitados acceda a recursos y datos fuera de su ámbito de autorización. La explotación está limitada a cuentas con determinados permisos.
Aspecto destacable: el papel de la IA en la detección
BeyondTrust indicó que las cuatro vulnerabilidades fueron descubiertas internamente en el marco de las evaluaciones de seguridad en curso, y que la empresa utilizó modelos de inteligencia artificial de acceso público, en particular Anthropic Claude Opus 4.8, además de sus propias herramientas de investigación. Se trata de uno de los ejemplos más llamativos en los que un proveedor señala abiertamente el uso de IA generativa en el proceso de auditoría de seguridad de sus propios productos. Este enfoque merece atención: la detección proactiva de vulnerabilidades antes de su explotación es una estrategia mucho más ventajosa que reaccionar a los incidentes a posteriori.
Evaluación del impacto
Los productos BeyondTrust Remote Support y Privileged Remote Access se utilizan ampliamente en el sector corporativo para la asistencia técnica remota y la gestión del acceso privilegiado. La compromisión de estos sistemas puede proporcionar a un atacante acceso directo a la infraestructura crítica de la organización, ya que estas soluciones, por su propia naturaleza, cuentan con amplios permisos en los entornos objetivo.
Según el boletín oficial de BeyondTrust, en el momento de la publicación no hay datos confirmados sobre la explotación activa de las nuevas vulnerabilidades. Ninguna de las cuatro CVE figura en el catálogo CISA KEV. No obstante, los productos RS y PRA ya han sido objetivo de ataques en el pasado, lo que convierte la actualización rápida en una prioridad.
Recomendaciones
- Actualice Remote Support y Privileged Remote Access a la versión 25.3.3 o superior.
- Revise la configuración de autenticación y determine si están activados los parámetros que permiten la explotación de CVE-2026-40138 y CVE-2026-40139. Si no es posible actualizar de inmediato, valore un cambio temporal de la configuración.
- Realice una auditoría de las cuentas con permisos potencialmente expuestos a CVE-2026-40141 y limite sus privilegios al mínimo necesario.
- Revise los registros de los dispositivos RS y PRA en busca de intentos de autenticación anómalos y accesos no autorizados a los recursos.
- Restrinja el acceso de red a las interfaces de administración de los dispositivos BeyondTrust si son accesibles desde redes no confiables.
Teniendo en cuenta la criticidad de la puntuación CVSS 9.2 para dos de las vulnerabilidades y el valor estratégico de los productos de acceso remoto como vector de ataque, la actualización a la versión 25.3.3 debe realizarse en el plazo más breve posible, incluso en ausencia de explotación confirmada. La dependencia de una configuración concreta reduce el riesgo, pero no lo elimina: tras la publicación de las CVE, la ventana para una actualización segura se estrecha día a día.