La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves una falla de seguridad crítica que afecta los productos de acceso remoto privilegiado (PRA) y soporte remoto (RS) de BeyondTrust al catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa en la naturaleza. .
La vulnerabilidad, identificada como CVE-2024-12356 (puntuación CVSS: 9,8), es una falla de inyección de comandos que podría ser explotada por un actor malicioso para ejecutar comandos arbitrarios como usuario del sitio.
“BeyondTrust Privileged Remote Access (PRA) y Remote Support (RS) contienen una vulnerabilidad de inyección de comandos, que puede permitir a un atacante no autenticado inyectar comandos que se ejecutan como usuario del sitio”, dijo CISA.
Si bien el problema ya se ha solucionado en las instancias en la nube de los clientes, se recomienda a aquellos que utilizan versiones autohospedadas del software que actualicen a las siguientes versiones:
- Acceso remoto privilegiado (versiones 24.3.1 y anteriores): parche PRA BT24-10-ONPREM1 o BT24-10-ONPREM2
- Soporte remoto (versiones 24.3.1 y anteriores): parche RS BT24-10-ONPREM1 o BT24-10-ONPREM2
La noticia de la explotación activa llega después de que BeyondTrust revelara que fue víctima de un ciberataque a principios de este mes que permitió a actores de amenazas desconocidos violar algunas de sus instancias de Remote Support SaaS.
La compañía, que contó con la ayuda de una firma forense y de ciberseguridad externa, dijo que su investigación sobre el incidente encontró que los atacantes obtuvieron acceso a una clave API de SaaS de soporte remoto que les permitió restablecer las contraseñas de las cuentas de aplicaciones locales.
Desde entonces, su investigación ha descubierto otra vulnerabilidad de gravedad media (CVE-2024-12686, 6.6) que puede permitir a un atacante con privilegios administrativos existentes inyectar comandos y ejecutarlos como usuario del sitio. La falla recién descubierta se ha solucionado en las siguientes versiones:
- Acceso remoto privilegiado (PRA): parche PRA BT24-11-ONPREM1, BT24-11-ONPREM2, BT24-11-ONPREM3, BT24-11-ONPREM4, BT24-11-ONPREM5, BT24-11-ONPREM6 y BT24-11- ONPREM7 (depende de la versión PRA)
- Soporte remoto (RS): parche RS BT24-11-ONPREM1, BT24-11-ONPREM2, BT24-11-ONPREM3, BT24-11-ONPREM4, BT24-11-ONPREM5, BT24-11-ONPREM6 y BT24-11-ONPREM7 (depende de la versión RS)
BeyondTrust no menciona ninguna de las vulnerabilidades que se están explotando en la naturaleza. Sin embargo, ha dicho que todos los clientes afectados han sido notificados. Actualmente se desconoce la escala exacta de los ataques, o las identidades de los actores de amenazas detrás de ellos.
The Hacker News se comunicó con la compañía para hacer comentarios y actualizará el artículo si recibimos una respuesta.
