Американское агентство по кибербезопасности и инфраструктурной безопасности (CISA) включило в свой каталог известных эксплуатируемых уязвимостей (KEV) критическую проблему в продуктах BeyondTrust Privileged Remote Access (PRA) и Remote Support (RS). Уязвимость уже используется злоумышленниками.
Уязвимость с идентификатором CVE-2024-12356получила высокий рейтинг опасности (9.8 по шкале CVSS). Это уязвимость типа Command Injection, которая позволяет злоумышленнику выполнять произвольные команды от имени пользователя сайта.
По информации CISA, уязвимость затрагивает продукты BeyondTrust PRA и RS, позволяя неавторизованным атакующим вводить команды, которые запускаются с правами пользователя сайта. Для защиты пользователям облачных версий уже предоставлены обновления. Тем, кто использует локальные версии, компания рекомендует установить патчи BT24-10-ONPREM1 или BT24-10-ONPREM2.
Сообщение об активной эксплуатации уязвимости появилось вскоре после того, как BeyondTrust сообщила о кибератаке, жертвой которой стала её система Remote Support SaaS. Злоумышленники получили доступ к API-ключу, использовав его для сброса паролей в локальных учётных записях.
В ходе расследования, проводимого с привлечением сторонних специалистов, была выявлена ещё одна уязвимость средней степени критичности – CVE-2024-12686 (CVSS 6.6). Она позволяет атакующим с административными правами выполнять команды с правами пользователя сайта. Эта проблема устранена в новых версиях программного обеспечения.
Для пользователей PRA и RS доступны патчи BT24-11-ONPREM1 и последующие, в зависимости от используемой версии. BeyondTrust сообщила, что все затронутые клиенты были уведомлены, однако не раскрыла масштаб атаки и личности злоумышленников.
Включение уязвимости CVE-2024-12356 в каталог CISA подчёркивает её серьёзность. Пользователям рекомендуется незамедлительно установить актуальные обновления, чтобы минимизировать риски.