A BeyondTrust, uma das maiores fornecedoras de gestão de acesso privilegiado (PAM) do mundo, corrigiu quatro falhas críticas nos produtos Remote Support e Privileged Remote Access em 7 de julho de 2026. Duas delas, com CVSS 9.2, permitem que um invasor sem senha tome o controle total do aparelho pela rede — exatamente o tipo de invasão que a empresa vende como capaz de impedir.

Pontos-chave

  • O que aconteceu: a BeyondTrust divulgou o boletim BT26-03 com quatro vulnerabilidades de pré-autenticação em Remote Support (RS) e Privileged Remote Access (PRA).
  • Gravidade: CVE-2026-40138 e CVE-2026-40139, ambos CVSS 9.2, permitem acesso administrativo a um invasor remoto sem credenciais válidas.
  • Condição: a exploração depende de uma configuração específica de autenticação estar ativada no aparelho.
  • Correção: RS 25.3.3 e PRA 25.3.3 ou superior. Versões 25.3.2 e anteriores estão vulneráveis.
  • Urgência: falhas anteriores da mesma linha (CVE-2024-12356 e CVE-2026-1731) foram exploradas para instalar web shells e foram ligadas ao grupo chinês Silk Typhoon.

A ironia do cofre aberto

A BeyondTrust existe para resolver um problema simples: garantir que senhas de administrador, chaves de acesso e credenciais privilegiadas fiquem trancadas em um cofre digital, liberadas só para quem precisa, na hora certa. Bancos, operadoras de telecomunicações e grandes empresas brasileiras usam exatamente esse argumento para justificar o contrato. É doloroso, portanto, descobrir que o próprio cofre tinha uma falha que deixava a porta aberta — sem precisar de chave nenhuma.

As duas falhas mais graves, CVE-2026-40138 e CVE-2026-40139, ambas com CVSS 9.2, afetam o subsistema de autenticação dos produtos Remote Support e Privileged Remote Access. Em termos diretos: um atacante posicionado na rede, sem usuário nem senha, podia burlar o controle de acesso e entrar no aparelho com privilégios elevados. O cofre que guarda as chaves do datacenter inteiro ficava acessível a quem soubesse aproveitar a janela.

As quatro falhas em detalhe

O boletim BT26-03, publicado em 6 de julho e detalhado na manhã seguinte, reúne quatro vulnerabilidades distintas. A tabela abaixo resume o que cada uma permite:

CVE Produto CVSS Impacto
CVE-2026-40138 RS e PRA 9,2 Bypass de autenticação por atacante na rede, com acesso a contas privilegiadas
CVE-2026-40139 Remote Support 9,2 Bypass de autenticação por atacante remoto sem credenciais
CVE-2026-40140 RS e PRA 8,7 Negação de serviço (DoS) por validação insuficiente de entrada
CVE-2026-40141 RS e PRA 8,5 Escalonamento de privilégio para usuário autenticado com permissões limitadas

Há um detalhe importante: as duas falhas críticas só funcionam quando uma configuração específica de autenticação está ativada no aparelho. Ou seja, o risco não bate igual em toda instalação — mas quem deixou essa configuração ligada está na zona de perigo. A classificação CWE-287 (autenticação imprópria) e o padrão de ataque CAPEC-114 confirmam que o problema está no coração do mecanismo que decide quem entra e quem não entra.

Histórico pesado de exploração

Não há registro de exploração ativa destas quatro falhas até o fechamento desta matéria. O problema é que a palavra “ainda” pesa aqui. Falhas anteriores na mesma linha de produtos já foram massivamente exploradas no mundo real — e com consequência grave. A CVE-2024-12356 e a CVE-2026-1731, ambas em Remote Support e PRA, foram usadas para instalar web shells e backdoors em ambientes comprometidos.

Esses ataques anteriores foram ligados ao grupo chinês Silk Typhoon e chegaram a atingir sistemas do governo dos Estados Unidos. A lição é clara: quando um produto de acesso remoto privilegiado cai, o atacante não quer só um servidor — ele quer o caminho para todos os outros. Por isso a recomendação da própria BeyondTrust é aplicar o patch agora, mesmo sem exploração confirmada.

IA da Anthropic acha as falhas

Um detalhe curioso desse boletim: a BeyondTrust encontrou as quatro vulnerabilidades internamente, durante avaliações de segurança, com ajuda de modelos de inteligência artificial disponíveis publicamente — incluindo o Claude Opus 4.8 da Anthropic e ferramentas proprietárias de pesquisa. É a IA atuando do lado defensor, revisando código e achando falhas de autenticação antes de um atacante.

O movimento faz sentido e tende a virar padrão. Modelos de linguagem grandes são bons em percorrer caminhos lógicos de validação e encontrar bordas onde a checagem de credenciais falha — exatamente a classe de bug deste boletim. O lado ruim: o mesmo tipo de ferramenta está disponível para quem ataca, o que comprime o tempo entre divulgação e exploração ativa.

Quem está exposto no Brasil

No Brasil, BeyondTrust é presença comum em bancos, seguradoras, operadoras de telecom e grandes varejistas — exatamente os setores onde um vazamento de credenciais privilegiadas vira incidente regulatório na LGPD. Qualquer equipe de TI que mantém um aparelho Remote Support ou Privileged Remote Access em versão 25.3.2 ou anterior precisa tratar isso como prioridade máxima nesta semana.

O risco não é só o aparelho em si. Quem compromete uma instância de PAM ganha acesso ao cofre de senhas, às sessões gravadas de administradores e aos atalhos para milhares de servidores internos. É o primeiro passo clássico de um ataque de ransomware em larga escala. A decisão sobre priorizar este patch não deveria passar de uma hora.

O que fazer agora

O caminho de resposta é direto e não admite desculpa:

  1. Atualize imediatamente para RS 25.3.3 e PRA 25.3.3 ou superior em todos os aparelhos, incluindo os de contingência.
  2. Revise a configuração de autenticação ativada em cada instância. Se a configuração que habilita a exploração não for necessária, desligue-a.
  3. Segmente a rede para restringir quais sistemas conseguem alcançar os endpoints de autenticação do aparelho. O atacante precisa estar posicionado na rede — corte esse caminho.
  4. Monitore os logs de autenticação em busca de acessos suspeitos nas últimas semanas, já que a janela de exposição vem desde a versão afetada.
  5. Audite sessões privilegiadas gravadas no período, procurando padrões anômalos de uso de credenciais.

Para quem ainda define prioridades de patch com base em sentimento, vale ler nosso guia sobre como priorizar correções entre zero-days e falhas conhecidas. A lógica é a mesma: peso do ativo, histórico de exploração e facilidade do ataque — três critérios que aqui brilham em vermelho.

Leia também

Referências