O BeyondTrust corrigiu quatro falhas em seus produtos de acesso remoto, incluindo duas vulnerabilidades críticas que podem permitir a um invasor não autenticado burlar controles e alcançar contas privilegiadas. O problema afeta instalações até a versão 25.3.2, segundo o aviso da fabricante, e exige ação imediata de quem administra esses equipamentos.
Resumo e pontos-chave
- As falhas estão identificadas como CVE-2026-40138, CVE-2026-40139, CVE-2026-40140 e CVE-2026-40141, segundo o aviso de segurança da BeyondTrust.
- As duas vulnerabilidades mais graves receberam pontuação CVSS 4.0 de 9,2 e atingem a camada de autenticação antes do acesso à sessão, conforme os registros do CVE-2026-40138 e do CVE-2026-40139.
- A correção está nas versões 25.3.3 ou superiores do Remote Support e do Privileged Remote Access, de acordo com a análise técnica publicada pelo The Hacker News.
- A BeyondTrust não informou exploração ativa dessas quatro falhas, segundo a reportagem técnica do The Hacker News; isso não reduz a urgência, porque produtos de acesso remoto são alvos de alto valor quando ficam expostos à internet.
O que aconteceu
A BeyondTrust publicou o aviso BT26-03 em julho de 2026 para tratar quatro vulnerabilidades encontradas em avaliações internas de segurança. O pacote envolve o Remote Support e o Privileged Remote Access, ferramentas usadas para atender usuários, administrar computadores e controlar acessos privilegiados à distância, segundo o aviso oficial da fabricante.
O caso ganhou peso por causa de duas falhas de autenticação prévia. A CVE-2026-40138 permite que um invasor posicionado na rede manipule dados de autenticação e contorne controles de acesso. A CVE-2026-40139 permite que um atacante remoto não autenticado processe requisições de forma indevida e alcance o equipamento. As duas descrições estão registradas pelo NVD para a CVE-2026-40138 e pelo NVD para a CVE-2026-40139.
Há uma condição relevante: a exploração das duas falhas críticas depende de uma configuração específica de autenticação estar habilitada. Esse detalhe evita alarmismo, mas não autoriza inação. Em ambientes grandes, a configuração pode estar ativa em apenas um conjunto de aparelhos, justamente aquele que foi criado para concentrar acesso administrativo. A própria BeyondTrust descreve esse requisito no boletim BT26-03.
Por que o risco é alto
Uma ferramenta de suporte remoto não é apenas mais um serviço web. Ela pode intermediar sessões, transferir arquivos, executar comandos e conectar técnicos a máquinas internas. Se o invasor atravessa a autenticação desse ponto, a pergunta deixa de ser “qual servidor foi atingido?” e passa a ser “quais caminhos administrativos estavam disponíveis?”. Essa é uma avaliação de risco operacional, não uma afirmação de que cada instalação vulnerável já foi invadida.
O histórico recente do próprio ecossistema reforça a preocupação. O The Hacker News lembra que falhas anteriores em produtos da BeyondTrust, como a CVE-2024-12356 e a CVE-2026-1731, foram exploradas para implantar páginas maliciosas e acessos persistentes. Esse histórico não prova exploração das novas CVEs, mas mostra por que uma janela entre a divulgação e a atualização é perigosa, conforme a reportagem técnica do The Hacker News.
A pontuação também merece leitura correta. A CVE-2026-40138 recebeu 9,2 no sistema CVSS 4.0 atribuído pela BeyondTrust, enquanto o NVD exibe 8,1 no cálculo CVSS 3.1. A CVE-2026-40139 recebeu 9,2 no CVSS 4.0 e 9,8 no CVSS 3.1. A diferença entre versões do cálculo não muda o diagnóstico: são falhas graves, com potencial para comprometer confidencialidade, integridade e disponibilidade, segundo os registros do NVD e do NVD.
As outras duas falhas
A CVE-2026-40140 é uma vulnerabilidade de pré-autenticação no subsistema de comunicação de rede. A validação insuficiente de dados enviados pelo cliente pode provocar uma condição de negação de serviço e interromper a disponibilidade do equipamento. O The Hacker News informa pontuação CVSS 4.0 de 8,7 para esse problema no relato sobre o BT26-03.
Já a CVE-2026-40141 afeta um componente da aplicação web. Um usuário autenticado com privilégios limitados pode explorar validações insuficientes para acessar recursos ou dados fora do escopo autorizado. A exploração, portanto, não começa com um invasor anônimo, mas pode ampliar o impacto de uma conta que já tenha sido roubada ou concedida de forma excessiva. A descrição e a pontuação CVSS 4.0 de 8,5 aparecem no aviso da BeyondTrust.
Quais versões estão expostas
O aviso do fornecedor considera vulneráveis as versões até 25.3.2 do Remote Support e do Privileged Remote Access. A versão corrigida indicada para os dois produtos é a 25.3.3 ou superior, conforme a listagem de versões afetadas mantida pelo NVD e o resumo de correções publicado pelo The Hacker News.
O primeiro erro de uma equipe seria procurar apenas máquinas com o nome “BeyondTrust” no inventário. Instalações antigas podem estar registradas pelo nome do produto anterior, por endereço do equipamento ou por uma empresa terceirizada responsável pelo suporte. O caminho seguro é cruzar inventário, contratos de atendimento remoto, versões instaladas e regras de exposição externa com o boletim BT26-03.
O que fazer agora
- Identifique todos os equipamentos que executam Remote Support ou Privileged Remote Access e registre a versão de cada instalação.
- Atualize as versões 25.3.2 ou anteriores para a versão 25.3.3 ou superior indicada pela fabricante. Se a instalação for administrada por terceiro, exija confirmação formal da versão corrigida.
- Enquanto a atualização não ocorrer, reduza a exposição do serviço. Restrinja o acesso por rede privada, permita somente origens administrativas conhecidas e elimine publicação direta na internet quando ela não for indispensável. Essas medidas reduzem a superfície de ataque; não substituem a correção.
- Revise as configurações de autenticação mencionadas no aviso e confirme quais aparelhos podem aceitar conexões sem passar pelos controles esperados. Documente a revisão para diferenciar uma exposição real de uma instalação que não atende à condição de exploração.
- Procure sinais de uso indevido: logins fora do horário, criação de contas, mudanças de privilégio, sessões inesperadas, transferências de arquivos e comandos executados sem chamado correspondente. Preserve os registros antes de reiniciar ou reinstalar o equipamento.
- Depois da atualização, valide a versão, teste uma sessão controlada e monitore o equipamento. Se houver evidência de acesso indevido, isole o aparelho e conduza a investigação a partir dos registros preservados.
Para organizações brasileiras que terceirizam suporte de estações, servidores ou redes, a atualização precisa entrar no contrato e no inventário, não ficar como uma tarefa informal do técnico. A empresa que não sabe quem controla sua ferramenta de acesso remoto também não sabe qual caminho pode levar ao ambiente interno. Essa é a consequência prática mais importante deste caso.
A lição para equipes
A BeyondTrust diz que encontrou as falhas em avaliações internas com apoio de modelos públicos de inteligência artificial e ferramentas próprias de pesquisa, conforme o relato técnico do The Hacker News. A lição não é comprar uma ferramenta de IA e esperar que ela encontre tudo. É testar componentes que concentram privilégios, revisar configurações perigosas e transformar cada correção em uma verificação de inventário.
Também vale abandonar a lógica de esperar uma confirmação de exploração para agir. O aviso não registra ataque ativo, mas as vulnerabilidades permitem contornar autenticação em um produto desenhado para administrar outros sistemas. Quando a correção é conhecida e a versão afetada está delimitada, adiar a atualização vira uma escolha operacional consciente. Nesse caso, é uma escolha difícil de defender.
Leia também
- A falha anterior do BeyondTrust que permitia controle sem senha
- MFA resistente a phishing para proteger acessos administrativos
- Como priorizar ameaças com inteligência de segurança