BeyondTrust brengt dringende patch uit voor kritieke kwetsbaarheden in PRA- en RS-producten

BeyondTrust heeft details bekendgemaakt van een kritieke beveiligingsfout in Privileged Remote Access (PRA) en Remote Support (RS)-producten die mogelijk kunnen leiden tot de uitvoering van willekeurige opdrachten.

Privileged Remote Access controleert, beheert en controleert geprivilegieerde accounts en referenties, en biedt zero trust-toegang tot on-premises en cloudbronnen voor interne, externe en externe gebruikers. Met Remote Support kan servicedeskpersoneel veilig verbinding maken met externe systemen en mobiele apparaten.

De kwetsbaarheid, bijgehouden als CVE-2024-12356 (CVSS-score: 9,8), is beschreven als een voorbeeld van commando-injectie.

“Er is een kritieke kwetsbaarheid ontdekt in Privileged Remote Access (PRA) en Remote Support (RS)-producten waarmee een niet-geverifieerde aanvaller opdrachten kan injecteren die worden uitgevoerd als sitegebruiker”, aldus het bedrijf in een advies.

Een aanvaller zou de fout kunnen misbruiken door een kwaadwillig clientverzoek te sturen, wat feitelijk kan leiden tot de uitvoering van willekeurige besturingssystemen binnen de context van de sitegebruiker.

Het probleem is van invloed op de volgende versies:

  • Privileged Remote Access (versies 24.3.1 en eerder) – Opgelost in PRA-patch BT24-10-ONPREM1 of BT24-10-ONPREM2
  • Ondersteuning op afstand (versies 24.3.1 en eerder) – Opgelost in RS-patch BT24-10-ONPREM1 of BT24-10-ONPREM2

Vanaf 16 december 2024 is er al een patch voor de kwetsbaarheid aangebracht op cloudinstances. Gebruikers van lokale versies van de software wordt aangeraden de nieuwste fixes toe te passen als ze niet zijn geabonneerd op automatische updates.

“Als klanten een versie gebruiken die ouder is dan 22.1, zullen ze moeten upgraden om deze patch toe te passen”, aldus BeyondTrust.

Het bedrijf zei dat de tekortkoming aan het licht kwam tijdens een lopend forensisch onderzoek dat werd gestart naar aanleiding van een ‘beveiligingsincident’ op 2 december 2024, waarbij een ‘beperkt aantal Remote Support SaaS-klanten’ betrokken was.

“Uit een analyse van de hoofdoorzaak van een probleem met Remote Support SaaS bleek dat een API-sleutel voor Remote Support SaaS was gecompromitteerd”, aldus BeyondTrust, eraan toevoegend dat “de API-sleutel onmiddellijk werd ingetrokken, bekende getroffen klanten op de hoogte werden gesteld en die instanties dezelfde dag werden opgeschort terwijl ze werden aangeboden alternatieve Remote Support SaaS-instances voor die klanten.”

BeyondTrust zei ook dat het nog steeds werkt aan het vaststellen van de oorzaak en impact van het compromis, in samenwerking met een niet bij naam genoemd ‘cyberbeveiligings- en forensisch bedrijf’.

Thijs Van der Does