A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) adicionou na quinta-feira ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), um grave defeito de segurança que afeta os produtos BeyondTrust de Acesso Remoto Privilegiado (PRA) e Suporte Remoto (RS), citando evidências de exploração ativa no mundo real.
A vulnerabilidade, identificada como
CVE-2024-12356
(pontuação CVSS: 9.8), é um problema de injeção de comando que pode ser explorado por um ator mal-intencionado para executar comandos arbitrários como o usuário do site.
"A BeyondTrust Privileged Remote Access (PRA) e Remote Support (RS) contêm uma vulnerabilidade de injeção de comando, que pode permitir a um atacante não autenticado injetar comandos que são executados como um usuário do site," disse a CISA.
Embora o problema já tenha sido corrigido nas instâncias de nuvem dos clientes, recomenda-se que aqueles que utilizam versões auto-hospedadas do software atualizem para as seguintes versões:
Acesso Remoto Privilegiado (versões 24.3.1 e anteriores) - PRA patch BT24-10-ONPREM1 ou BT24-10-ONPREM2
Suporte Remoto (versões 24.3.1 e anteriores) - RS patch BT24-10-ONPREM1 ou BT24-10-ONPREM2
A notícia da exploração ativa vem após a BeyondTrust revelar que foi vítima de um ataque cibernético mais cedo neste mês, que permitiu a atores de ameaças desconhecidos violarem algumas de suas instâncias SaaS de Suporte Remoto.
A empresa, que contratou a ajuda de uma firma de cibersegurança e forense de terceiros, disse que sua investigação sobre o incidente encontrou que os atacantes obtiveram acesso a uma chave de API de Suporte Remoto SaaS que lhes permitiu redefinir senhas para contas de aplicativos locais.
Sua investigação desde então descobriu outra vulnerabilidade de severidade média (
CVE-2024-12686
, 6.6) que pode permitir a um atacante com privilégios administrativos existentes injetar comandos e executar como um usuário do site.
A falha recém-descoberta foi corrigida nas seguintes versões:
Acesso Remoto Privilegiado (PRA) - PRA patch BT24-11-ONPREM1, BT24-11-ONPREM2, BT24-11-ONPREM3, BT24-11-ONPREM4, BT24-11-ONPREM5, BT24-11-ONPREM6, e BT24-11-ONPREM7 (dependente da versão do PRA)
Suporte Remoto (RS) - RS patch BT24-11-ONPREM1, BT24-11-ONPREM2, BT24-11-ONPREM3, BT24-11-ONPREM4, BT24-11-ONPREM5, BT24-11-ONPREM6, e BT24-11-ONPREM7 (dependente da versão do RS)
A BeyondTrust não menciona se alguma das vulnerabilidades foi explorada no mundo real.
No entanto, afirmou que todos os clientes afetados foram notificados.
A escala exata dos ataques, ou as identidades dos atores de ameaças por trás deles, não são conhecidas no momento.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...