La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves una error de seguridad crítica que afecta los productos de camino remoto privilegiado (PRA) y soporte remoto (RS) de BeyondTrust al catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa en la naturaleza. .
La vulnerabilidad, identificada como CVE-2024-12356 (puntuación CVSS: 9,8), es una error de inyección de comandos que podría ser explotada por un actor solapado para ejecutar comandos arbitrarios como becario del sitio.
«BeyondTrust Privileged Remote Access (PRA) y Remote Support (RS) contienen una vulnerabilidad de inyección de comandos, que puede permitir a un atacante no autenticado inyectar comandos que se ejecutan como becario del sitio», dijo CISA.
Si aceptablemente el problema ya se ha solucionado en las instancias en la cúmulo de los clientes, se recomienda a aquellos que utilizan versiones autohospedadas del software que actualicen a las siguientes versiones:
- Golpe remoto privilegiado (versiones 24.3.1 y anteriores): parche PRA BT24-10-ONPREM1 o BT24-10-ONPREM2
- Soporte remoto (versiones 24.3.1 y anteriores): parche RS BT24-10-ONPREM1 o BT24-10-ONPREM2
La informe de la explotación activa llega posteriormente de que BeyondTrust revelara que fue víctima de un ciberataque a principios de este mes que permitió a actores de amenazas desconocidos violar algunas de sus instancias de Remote Support SaaS.
La compañía, que contó con la ayuda de una firma forense y de ciberseguridad de terceros, dijo que su investigación sobre el incidente encontró que los atacantes obtuvieron camino a una secreto API de SaaS de soporte remoto que les permitió restablecer las contraseñas de las cuentas de aplicaciones locales.
Desde entonces, su investigación ha descubierto otra vulnerabilidad de agravación media (CVE-2024-12686, 6.6) que puede permitir a un atacante con privilegios administrativos existentes inyectar comandos y ejecutarlos como becario del sitio. La error recién descubierta se ha solucionado en las siguientes versiones:
- Golpe remoto privilegiado (PRA): parche PRA BT24-11-ONPREM1, BT24-11-ONPREM2, BT24-11-ONPREM3, BT24-11-ONPREM4, BT24-11-ONPREM5, BT24-11-ONPREM6 y BT24-11- ONPREM7 (depende de la lectura PRA)
- Soporte remoto (RS): parche RS BT24-11-ONPREM1, BT24-11-ONPREM2, BT24-11-ONPREM3, BT24-11-ONPREM4, BT24-11-ONPREM5, BT24-11-ONPREM6 y BT24-11-ONPREM7 (depende de la lectura RS)
BeyondTrust no menciona ninguna de las vulnerabilidades que se están explotando en la naturaleza. Sin confiscación, ha dicho que todos los clientes afectados han sido notificados. Actualmente se desconoce la escalera exacta de los ataques, o las identidades de los actores amenazantes detrás de ellos.
The Hacker News se comunicó con la compañía para hacer comentarios y actualizará el artículo si recibimos una respuesta.