A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) adicionou na quinta-feira ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), um grave defeito de segurança que afeta os produtos BeyondTrust de Acesso Remoto Privilegiado (PRA) e Suporte Remoto (RS), citando evidências de exploração ativa no mundo real.
A vulnerabilidade, identificada como
CVE-2024-12356
(pontuação CVSS: 9.8), é um problema de injeção de comando que pode ser explorado por um ator mal-intencionado para executar comandos arbitrários como o usuário do site.
"A BeyondTrust Privileged Remote Access (PRA) e Remote Support (RS) contêm uma vulnerabilidade de injeção de comando, que pode permitir a um atacante não autenticado injetar comandos que são executados como um usuário do site," disse a CISA.
Embora o problema já tenha sido corrigido nas instâncias de nuvem dos clientes, recomenda-se que aqueles que utilizam versões auto-hospedadas do software atualizem para as seguintes versões:
Acesso Remoto Privilegiado (versões 24.3.1 e anteriores) - PRA patch BT24-10-ONPREM1 ou BT24-10-ONPREM2
Suporte Remoto (versões 24.3.1 e anteriores) - RS patch BT24-10-ONPREM1 ou BT24-10-ONPREM2
A notícia da exploração ativa vem após a BeyondTrust revelar que foi vítima de um ataque cibernético mais cedo neste mês, que permitiu a atores de ameaças desconhecidos violarem algumas de suas instâncias SaaS de Suporte Remoto.
A empresa, que contratou a ajuda de uma firma de cibersegurança e forense de terceiros, disse que sua investigação sobre o incidente encontrou que os atacantes obtiveram acesso a uma chave de API de Suporte Remoto SaaS que lhes permitiu redefinir senhas para contas de aplicativos locais.
Sua investigação desde então descobriu outra vulnerabilidade de severidade média (
CVE-2024-12686
, 6.6) que pode permitir a um atacante com privilégios administrativos existentes injetar comandos e executar como um usuário do site.
A falha recém-descoberta foi corrigida nas seguintes versões:
Acesso Remoto Privilegiado (PRA) - PRA patch BT24-11-ONPREM1, BT24-11-ONPREM2, BT24-11-ONPREM3, BT24-11-ONPREM4, BT24-11-ONPREM5, BT24-11-ONPREM6, e BT24-11-ONPREM7 (dependente da versão do PRA)
Suporte Remoto (RS) - RS patch BT24-11-ONPREM1, BT24-11-ONPREM2, BT24-11-ONPREM3, BT24-11-ONPREM4, BT24-11-ONPREM5, BT24-11-ONPREM6, e BT24-11-ONPREM7 (dependente da versão do RS)
A BeyondTrust não menciona se alguma das vulnerabilidades foi explorada no mundo real.
No entanto, afirmou que todos os clientes afetados foram notificados.
A escala exata dos ataques, ou as identidades dos atores de ameaças por trás deles, não são conhecidas no momento.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...