Win3Zz

**Nome do Software Vulnerável e Versões Afetadas** Versões do BeyondTrust Remote Support anteriores a 25.3.2 e do Privileged Remote Access anteriores a 25.1.1 **Descrição** Os softwares BeyondTrust Remote Support e Privileged Remote Access possuem uma vulnerabilidade crítica de execução remota de código pré-autenticação (RCE) (CVE-2026-1731). Essa vulnerabilidade permite que atacantes não autenticados executem comandos arbitrários do sistema operacional em sistemas afetados. A vulnerabilidade decorre de uma falha no tratamento de solicitações HTTP, especificamente no componente “thin-scc-wrapper”. Os atacantes podem explorar essa falha enviando solicitações especialmente criadas, permitindo que assumam o controle do sistema sem precisar fazer login. Observou-se exploração ativa dessa vulnerabilidade, com atacantes implantando web shells, portas traseiras (como VShell e SparkRAT) e preparando dados para exfiltração. A vulnerabilidade possui uma pontuação CVSS de 9,9, indicando gravidade crítica. Estima-se que cerca de 11.000 instâncias estejam expostas, sendo um número significativo delas implantações locais (on-premises). A exploração está associada a campanhas de ransomware e foi observada em múltiplos setores, incluindo finanças, saúde, jurídico e tecnologia. **Recomendações** Versões do BeyondTrust Remote Support anteriores a 25.3.2: Atualize para a versão 25.3.2 ou posterior. Versões do BeyondTrust Privileged Remote Access anteriores a 25.1.1: Atualize para a versão 25.1.1 ou posterior. Para versões mais antigas, atualize para uma versão mais recente antes de aplicar o patch de segurança. Se não for possível aplicar o patch imediatamente, restrinja o acesso externo aos sistemas afetados. Monitore os sistemas em busca de sinais de comprometimento, incluindo atividade de rede suspeita e modificações não autorizadas de arquivos.

**Name of the Vulnerable Software and Affected Versions** Milesight UR5X, UR32L, UR32, UR35, UR41 versions prior to 35.3.0.7 **Description** A cross-site scripting (XSS) issue was discovered in the admin panel of the affected devices. This issue allows for malicious scripts to be injected into the website, potentially leading to unauthorized access or control. **Recommendations** For Milesight UR5X, UR32L, UR32, UR35, UR41 versions prior to 35.3.0.7, update to version 35.3.0.7 or later to resolve the issue. As a temporary workaround, consider restricting access to the admin panel until a patch is applied.

**Name of the Vulnerable Software and Affected Versions** Milesight UR5X, UR32L, UR32, UR35, UR41 versions prior to 35.3.0.7 **Description** An information disclosure issue exists in Milesight routers. This allows attackers to access sensitive router components. Reports indicate that approximately 19,000 Milesight routers with exposed APIs have been identified, with at least 572 publicly accessible without authentication. This has been exploited in real-world attacks, primarily in Europe (Sweden, Italy, Belgium), to send SMS spam containing phishing links. The vulnerability allows attackers to view system logs, locate, and compromise administrator passwords. These compromised credentials can then be used to abuse the router's SMS API to send malicious messages. The API can be exploited due to misconfigurations or the presence of the vulnerability. The attackers are leveraging the SMS notification feature commonly found in industrial routers to send spam messages. Some malicious URLs include JavaScript that checks for mobile access before delivering harmful content. Connections to a Telegram bot named GroozaBot have also been observed. The `SMS API` is being abused in these attacks. **Recommendations** Update Milesight UR5X, UR32L, UR32, UR35, and UR41 routers to version 35.3.0.7 or later. Restrict access to the `SMS API` to prevent unauthorized use. Ensure proper configuration of the SMS notification feature to prevent abuse. Monitor system logs for suspicious activity. Change default administrator passwords to strong, unique credentials. Disable the SMS notification feature if it is not required.