CISA voegt kritieke fouten in BeyondTrust-software toe aan de lijst met uitgebuite kwetsbaarheden

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft donderdag een kritiek beveiligingslek met gevolgen voor BeyondTrust Privileged Remote Access (PRA) en Remote Support (RS)-producten toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, daarbij verwijzend naar bewijs van actieve uitbuiting in het wild .

De kwetsbaarheid, bijgehouden als CVE-2024-12356 (CVSS-score: 9,8), is een fout in de opdrachtinjectie die door een kwaadwillende actor kan worden uitgebuit om als sitegebruiker willekeurige opdrachten uit te voeren.

“BeyondTrust Privileged Remote Access (PRA) en Remote Support (RS) bevatten een kwetsbaarheid voor het injecteren van commando’s, waardoor een niet-geverifieerde aanvaller commando’s kan injecteren die worden uitgevoerd als een sitegebruiker”, aldus CISA.

Hoewel het probleem al is opgelost in de cloudinstanties van klanten, wordt degenen die zelf-gehoste versies van de software gebruiken, aangeraden om te updaten naar de onderstaande versies:

  • Privileged Remote Access (versies 24.3.1 en eerder) – PRA-patch BT24-10-ONPREM1 of BT24-10-ONPREM2
  • Ondersteuning op afstand (versies 24.3.1 en eerder) – RS-patch BT24-10-ONPREM1 of BT24-10-ONPREM2

Het nieuws over actieve exploitatie komt nadat BeyondTrust onthulde dat het eerder deze maand het slachtoffer was van een cyberaanval waardoor onbekende bedreigingsactoren enkele van zijn Remote Support SaaS-instanties konden binnendringen.

Het bedrijf, dat de hulp heeft ingeroepen van een extern cyberbeveiligings- en forensisch bedrijf, zei dat uit het onderzoek naar het incident is gebleken dat de aanvallers toegang hebben gekregen tot een Remote Support SaaS API-sleutel waarmee ze wachtwoorden voor lokale applicatie-accounts opnieuw konden instellen.

Het onderzoek heeft sindsdien een andere kwetsbaarheid van gemiddelde ernst blootgelegd (CVE-2024-12686, 6.6), waardoor een aanvaller met bestaande beheerdersrechten opdrachten kan injecteren en als sitegebruiker kan draaien. De nieuw ontdekte fout is verholpen in de onderstaande versies:

  • Privileged Remote Access (PRA) – PRA-patch BT24-11-ONPREM1, BT24-11-ONPREM2, BT24-11-ONPREM3, BT24-11-ONPREM4, BT24-11-ONPREM5, BT24-11-ONPREM6 en BT24-11- ONPREM7 (afhankelijk van PRA-versie)
  • Ondersteuning op afstand (RS) – RS-patch BT24-11-ONPREM1, BT24-11-ONPREM2, BT24-11-ONPREM3, BT24-11-ONPREM4, BT24-11-ONPREM5, BT24-11-ONPREM6 en BT24-11-ONPREM7 (afhankelijk van RS-versie)

BeyondTrust maakt geen melding van de kwetsbaarheden die in het wild worden uitgebuit. Er wordt echter gezegd dat alle betrokken klanten op de hoogte zijn gesteld. De exacte omvang van de aanvallen, of de identiteit van de dreigingsactoren die erachter zitten, is op dit moment niet bekend.

The Hacker News heeft contact opgenomen met het bedrijf voor commentaar en zal het stuk bijwerken als we iets horen.

Thijs Van der Does