A BeyondTrust lançou atualizações de segurança para corrigir uma falha de alta gravidade em suas soluções Remote Support (RS) e Privileged Remote Access (PRA), que podem permitir a atacantes não autenticados executar código remotamente em servidores vulneráveis.
Remote Support é a solução empresarial da BeyondTrust para suporte remoto, que ajuda equipes de TI a solucionar problemas conectando-se remotamente a sistemas e dispositivos, enquanto o Privileged Remote Access atua como um gateway seguro, garantindo que os usuários só possam acessar os sistemas e recursos específicos aos quais estão autorizados a usar.
Identificada como
CVE-2025-5309
, esta vulnerabilidade de Server-Side Template Injection foi descoberta por Jorren Geurts da Resillion no recurso de chat do BeyondTrust RS/PRA.
"Os componentes de Remote Support e Privileged Remote Access não escapam adequadamente a entrada destinada ao motor de template, levando a uma possível vulnerabilidade de injeção de template", explicou a empresa.
"Essa falha pode permitir a um atacante executar código arbitrário no contexto do servidor.
Notavelmente, no caso do Remote Support, a exploração não requer autenticação."
A BeyondTrust já corrigiu todos os sistemas RS/PRA em nuvem a partir de 16 de junho de 2025, e aconselhou os clientes locais a aplicar o patch manualmente se não habilitaram as atualizações automáticas.
Administradores que não podem implantar as atualizações de segurança imediatamente podem mitigar o risco de exploração do
CVE-2025-5309
ativando a autenticação SAML para o Portal Público.
Eles também devem impor o uso de chaves de sessão, desativando a Lista de Representantes e a Pesquisa de Submissão de Problemas, enquanto garantem que as chaves de sessão estão ativadas.
Embora a empresa não tenha declarado que esta vulnerabilidade foi explorada ativamente, outras falhas de segurança do BeyondTrust RS/PRA foram alvo de ataques nos últimos anos.
Mais recentemente, a empresa divulgou no início de dezembro que atacantes invadiram seus sistemas usando dois bugs zero-day do RS/PRA (
CVE-2024-12356
e
CVE-2024-12686
) e um zero-day do PostgreSQL (
CVE-2025-1094
).
Eles também roubaram uma chave de API durante o ataque, que foi usada para comprometer 17 instâncias SaaS do Remote Support.
Menos de um mês depois, o Departamento do Tesouro dos EUA revelou que sua rede havia sido hackeada, um incidente que mais tarde foi vinculado a hackers apoiados pelo estado chinês rastreados como Silk Typhoon.
Os ciberespiões chineses visaram o Office of Foreign Assets Control (OFAC), que administra programas de sanções comerciais e econômicas, e o Committee on Foreign Investment in the United States (CFIUS), que analisa investimentos estrangeiros quanto a riscos à segurança nacional.
Acredita-se que o Silk Typhoon acessou a instância BeyondTrust do Tesouro para roubar informações não classificadas sobre possíveis ações de sanção e outros documentos igualmente sensíveis.
A CISA adicionou o
CVE-2024-12356
ao seu catálogo de Vulnerabilidades Exploradas Conhecidas em 19 de dezembro, ordenando às agências federais dos EUA que protegessem suas redes em uma semana, até 13 de janeiro.
A BeyondTrust oferece serviços de segurança de identidade para mais de 20.000 clientes em mais de 100 países, incluindo 75% das empresas da Fortune 100 em todo o mundo.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...