Niedawno ujawniona luka w zabezpieczeniach oprogramowania Privileged Remote Access (PRA) oraz Remote Support (RS) wywołała duże zaniepokojenie w branży IT. BeyondTrust, producent tych narzędzi, przekazał szczegóły krytycznej podatności, która może umożliwić nieautoryzowanym osobom wykonanie dowolnych poleceń w systemie operacyjnym. Ten incydent stanowi poważne zagrożenie, zwłaszcza w kontekście ochrony danych wrażliwych i integralności środowisk informatycznych.
Privileged Remote Access to oprogramowanie, które zarządza uprzywilejowanymi kontami i poświadczeniami, oferując użytkownikom wewnętrznym oraz zewnętrznym dostęp do zasobów lokalnych i chmurowych zgodnie z zasadami modelu Zero Trust. Z kolei Remote Support służy pracownikom działów wsparcia technicznego do bezpiecznego łączenia się z systemami i urządzeniami mobilnymi klientów. Oba te produkty są kluczowymi elementami w infrastrukturach wielu organizacji, co podkreśla wagę wykrytego problemu.
Opisana luka jest śledzona jako CVE-2024-12356 i zdobyła wysoki wynik CVSS wynoszący 9.8, co oznacza krytyczny poziom zagrożenia. Jest to przypadek tzw. wstrzykiwania poleceń (command injection), który umożliwia atakującym przejęcie kontroli nad systemem oraz potencjalne działanie w imieniu użytkownika lokalnego. Luka może być wykorzystana poprzez wysłanie złośliwego żądania do serwera, co w odpowiedzi prowadzi do wykonania dowolnych komend na poziomie systemu operacyjnego.
BeyondTrust w swoim komunikacie oświadczyło: „Luka umożliwia nieautoryzowanemu atakującemu wstrzyknięcie poleceń, które są następnie wykonywane jako użytkownik lokalny witryny.” Tego rodzaju wykorzystanie błędu daje możliwość uzyskania pełnego dostępu do infrastruktury, co czyni go szczególnie niebezpiecznym w kontekście ochrony zasobów cyfrowych firm.
Zagrożenie dotyczy następujących wersji oprogramowania:
- Privileged Remote Access – wersje 24.3.1 i starsze; problem został rozwiązany w poprawkach BT24-10-ONPREM1 oraz BT24-10-ONPREM2
- Remote Support – wersje 24.3.1 i starsze; problem został naprawiony w łatkach BT24-10-ONPREM1 oraz BT24-10-ONPREM2
W przypadku instancji chmurowych aktualizacja została wdrożona automatycznie 16 grudnia 2024 roku. Natomiast użytkownicy korzystający z wersji on-premise są proszeni o natychmiastowe zastosowanie odpowiednich poprawek, jeśli ich systemy nie są objęte subskrypcją automatycznych aktualizacji. Co istotne, osoby korzystające z wersji starszych niż 22.1 muszą najpierw przeprowadzić uaktualnienie oprogramowania, aby możliwe było zastosowanie najnowszych łatek.
Ogłoszenie BeyondTrust wynika z dochodzenia kryminalistycznego, które rozpoczęło się po „incydencie bezpieczeństwa” wykrytym 2 grudnia 2024 roku. Dotyczył on ograniczonej liczby użytkowników SaaS (Software-as-a-Service) Remote Support. Podczas analizy udało się ustalić, że klucz API używany w usłudze Remote Support SaaS został skompromitowany. Firma natychmiast anulowała aktywność naruszonego klucza, powiadomiła dotkniętych użytkowników i zawiesiła zainfekowane instancje, oferując klientom alternatywne rozwiązania w postaci nowych instancji SaaS.
Firma współpracuje obecnie z niezależnym podmiotem specjalizującym się w kryminalistyce i cyberbezpieczeństwie w celu pełnego wyjaśnienia przyczyn kompromitacji klucza API oraz określenia jej dokładnych konsekwencji. Ostateczne wyniki dochodzenia mają kluczowe znaczenie dla ochrony klientów przed podobnymi atakami w przyszłości, a także dla wprowadzenia lepszych zabezpieczeń w systemach BeyondTrust.