Metasploit incorpora nuevos módulos para Linux RC4, BeyondTrust, Ollama y persistencia en Windows/WSL

SeguridadInformacionNoticias

Published:

Reading time: 3 min.

Metasploit continúa ampliando su capacidad ofensiva con la actualización publicada el 27 de febrero de 2026. Esta release incorpora 7 nuevos módulos, múltiples mejoras funcionales y correcciones críticas, con foco en RCE no autenticado, evasión avanzada en Linux ARM64 y nuevas técnicas de persistencia en Windows y WSL.

Para equipos de Red Team, pentesters y profesionales de seguridad ofensiva, esta actualización representa un salto importante en cobertura de infraestructura empresarial, dispositivos VoIP y entornos de inteligencia artificial.

Nuevos exploits críticos de ejecución remota (RCE)

🔥 Ollama Model Registry Path Traversal (CVE-2024-37032)

Ollama

  • CVSS: 8.8

  • Tipo: Path Traversal → RCE no autenticado

  • Impacto: Root RCE en Linux

El módulo explota el mecanismo pull de Ollama mediante secuencias de path traversal para cargar un registro OCI malicioso que escribe bibliotecas compartidas manipuladas. Al forzar la creación de un nuevo proceso, la biblioteca es cargada y se ejecuta código arbitrario como root.

Relevancia: entornos que ejecutan modelos LLM on-prem sin segmentación adecuada podrían quedar completamente comprometidos.

🔥 BeyondTrust PRA/RS Command Injection (CVE-2026-1731)

BeyondTrust

  • CVSS: 9.9

  • Tipo: Command Injection

  • Impacto: RCE no autenticado

Afecta a appliances de:

  • Privileged Remote Access (PRA)

  • Remote Support (RS)

La actualización incluye además una nueva librería helper para facilitar futuros desarrollos de módulos sobre la plataforma.

Riesgo crítico en entornos corporativos que dependen de acceso privilegiado remoto.

🔥 Grandstream GXP1600 Stack Overflow (CVE-2026-2329)

Grandstream

  • CVSS: 9.3

  • Tipo: Stack Overflow

  • Impacto: Root shell en dispositivos VoIP

El exploit permite obtener sesión root en teléfonos VoIP GXP1600. Además, se incluyen dos módulos post-explotación para:

  • Exfiltrar credenciales

  • Proxy SIP para captura de tráfico

Esto amplía la superficie de ataque en redes empresariales donde los dispositivos VoIP suelen estar mal segmentados.

Tabla resumen de nuevos módulos

Módulo

CVE

Objetivo

Tipo

Ollama Path Traversal RCE

CVE-2024-37032

Linux / IA

Exploit

BeyondTrust PRA/RS RCE

CVE-2026-1731

Appliances

Exploit

Grandstream GXP1600

CVE-2026-2329

VoIP

Exploit + Post

Linux RC4 Packer

N/A

ARM64 Linux

Evasión

WSL Startup Persistence

N/A

Windows/WSL

Persistencia

Windows Active Setup

N/A

Windows

Persistencia

Primer módulo de evasión Linux para ARM64

Uno de los puntos más relevantes es el Linux RC4 Packer, orientado a arquitecturas ARM64.

Características técnicas:

  • Cifrado RC4 del payload

  • Ejecución de binarios ELF directamente en memoria

  • Técnicas de sleep evasion para evadir análisis dinámico

  • Diseño enfocado en bypass de EDR ligeros en entornos Linux

Este módulo marca un avance significativo en evasión ofensiva en plataformas ARM (cada vez más comunes en servidores cloud y edge computing).

Nuevos mecanismos de persistencia

Persistencia en WSL

El módulo escribe el payload en el directorio de inicio del usuario dentro de:

  • Windows Subsystem for Linux (WSL)

Esto permite ejecución automática al iniciar sesión.

Windows Registry Active Setup

Utiliza la característica nativa Active Setup del registro de Windows:

  • Ejecuta el payload una sola vez por perfil de usuario

  • Reduce privilegios a nivel usuario

  • Aprovecha funcionalidades legítimas del sistema

Es una técnica de bajo ruido y compatible con entornos donde las políticas de seguridad bloquean métodos tradicionales.

Mejoras en módulos clásicos

También se incluyeron mejoras de calidad en exploits históricos:

  • Mejor método check en Unreal IRCd y vsftpd backdoor

  • Payloads Meterpreter nativos

  • Mejor salida de debugging

  • Mejora automática de SRVHOST en SolarWinds

  • Nuevo método de verificación en scanner MS17-010

  • Corrección de falsos positivos en LDAP ESC y GraphQL Introspection

Estas mejoras optimizan automatización y reducen errores en procesos de evaluación de seguridad.

Impacto para equipos de seguridad

Esta actualización de Metasploit refuerza tres áreas clave:

  1. Explotación de infraestructura AI moderna (Ollama)

  2. Compromiso de appliances corporativos críticos (BeyondTrust)

  3. Ataque a dispositivos IoT/VoIP internos

Además, el enfoque en ARM64 y evasión Linux demuestra una adaptación clara al cambio de arquitectura en servidores y cloud.

Recomendaciones defensivas

Si gestionas infraestructura:

  • Actualizar Ollama inmediatamente si está expuesto.

  • Aplicar parches de BeyondTrust sin demora.

  • Segmentar dispositivos VoIP en VLAN aisladas.

  • Monitorear ejecución en memoria y cargas dinámicas de librerías.

  • Auditar WSL en entornos corporativos.

Conclusión

La actualización de Metasploit de febrero 2026 no es incremental; es estratégica. Amplía la superficie ofensiva hacia IA, PAM corporativo y dispositivos embebidos, además de introducir capacidades avanzadas de evasión en Linux ARM64.

Para equipos de Red Team, representa una expansión significativa del arsenal. Para Blue Team, es una señal clara de que deben reforzar monitoreo en entornos híbridos y AI on-prem.

- Advertisement -
Jorge
Jorgehttps://nksistemas.com
Soy Jorge, Sr Sysadmin Linux/DevOps/SRE y creador de NKSistemas.com Trabajo con plataformas: Linux, Windows, AWS, GCP, VMware, Helm, kubernetes, Docker, etc.

Related articles

LO MAS VISTO DEL MES

BIENVENIDO A NKSISTEMAS, TU WEB DE TECNOLOGIA

Un lugar donde encontrarás mucha información de Linux, Docker, Kubernetes, AWS, , Windows,Fortigate, VMware, Citrix, Redes, CCNA, Seguridad y hacking, y todo lo relativo al mundo informático por medio de cursos, tutoriales y videos. Mi nombre es Jorge, soy Sr sysadmin/DevOps/SRE, compartiendo conocimientos desde Buenos Aires, Argentina.

© NKSISTEMAS 2010