Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) dodała niedawno do swojego katalogu znanych podatności exploitable (KEV) krytyczną lukę bezpieczeństwa dotyczącą produktów BeyondTrust Privileged Remote Access (PRA) i Remote Support (RS). Decyzja ta była związana z potwierdzonymi dowodami na aktywne wykorzystanie tej podatności przez cyberprzestępców.
Luka, oznaczona jako CVE-2024-12356 i oceniona na 9.8 w skali CVSS, dotyczy błędu wstrzykiwania komend. Potencjalny napastnik może go wykorzystać do uruchamiania arbitralnych komend z uprawnieniami użytkownika lokalnego. Według CISA, „BeyondTrust Privileged Remote Access oraz Remote Support zawierają podatność na wstrzykiwanie komend, która może pozwolić nieautoryzowanemu napastnikowi na wstrzykiwanie komend wykonywanych jako użytkownik witryny.” Ten problem stanowi poważne zagrożenie dla organizacji korzystających z tych narzędzi, szczególnie w środowiskach korporacyjnych.
Chociaż luki te zostały już załatane w instancjach chmury BeyondTrust, użytkownikom korzystającym z wersji on-premise (lokalnych) oprogramowania zaleca się jak najszybsze zaktualizowanie do następujących wersji:
– Privileged Remote Access (do wersji 24.3.1 włącznie): Poprawka PRA – BT24-10-ONPREM1 lub BT24-10-ONPREM2
– Remote Support (do wersji 24.3.1 włącznie): Poprawka RS – BT24-10-ONPREM1 lub BT24-10-ONPREM2
Bogata w szczegóły informacja o aktywnej eksploatacji luki została opublikowana po tym, jak firma BeyondTrust ujawniła, że była ofiarą cyberataku. Według firmy, napastnicy uzyskali dostęp do niektórych instancji SaaS Remote Support, co umożliwiło im skompromitowanie klucza API. Dzięki temu napastnicy mogli resetować hasła do lokalnych kont aplikacji, co dodatkowo podkreśla powagę tego incydentu.
BeyondTrust, we współpracy z zewnętrznymi specjalistami ds. cyberbezpieczeństwa, prowadzi obecnie dochodzenie w tej sprawie. W toku analizy odkryto również kolejną lukę o średniej powadze, oznaczoną jako CVE-2024-12686 (CVSS: 6.6). Ta podatność, która może być wykorzystana jedynie przez napastnika posiadającego istniejące uprawnienia administracyjne, umożliwia również wstrzykiwanie i wykonywanie komend jako użytkownik witryny.
Firma w odpowiedzi na odkrycia wydała następujące aktualizacje zabezpieczeń:
– Privileged Remote Access (PRA): Poprawki BT24-11-ONPREM1 do BT24-11-ONPREM7 (zależnie od wersji PRA).
– Remote Support (RS): Poprawki BT24-11-ONPREM1 do BT24-11-ONPREM7 (zależnie od wersji RS).
Mimo wykrytych i załatanych problemów, BeyondTrust nie podało dotychczas informacji, czy podatności te były aktywnie wykorzystywane na szeroką skalę. Firma podkreśliła, że wszyscy klienci, których mogło dotknąć to zagrożenie, zostali już powiadomieni. Na chwilę obecną szczegóły dotyczące skali ataków oraz tożsamości odpowiedzialnych za nie grup nie są znane.
Warto zaznaczyć, że w świetle rosnącej liczby zagrożeń cybernetycznych, incydenty takie jak ten powinny być sygnałem ostrzegawczym dla organizacji korzystających z usług w modelu zdalnego dostępu. Regularne aktualizacje oprogramowania, ścisłe procedury bezpieczeństwa i mechanizmy wczesnego ostrzegania to kluczowe elementy ochrony infrastruktury IT. Dla użytkowników BeyondTrust aktualizacja do najnowszych wersji oprogramowania powinna być priorytetem, aby uniknąć dalszego ryzyka związanego z ewentualnym wykorzystaniem istniejących luk przez atakujących.
Powstające ryzyka i nowe schematy ataków wymagają od społeczności IT i firm przestrzegania najlepszych praktyk oraz stosowania rozwiązań zgodnych z najnowszymi standardami bezpieczeństwa.
