La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el jueves agregado una falla de seguridad crítica que afecta los productos de acceso remoto privilegiado (PRA) y soporte remoto (RS) de BeyondTrust a las vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa en la naturaleza.
La vulnerabilidad, identificada como CVE-2024-12356 (puntuación CVSS: 9,8), es una falla de inyección de comandos que podría ser explotada por un actor malicioso para ejecutar comandos arbitrarios como usuario del sitio.
“BeyondTrust Privileged Remote Access (PRA) y Remote Support (RS) contienen una vulnerabilidad de inyección de comandos, que puede permitir a un atacante no autenticado inyectar comandos que se ejecutan como usuario del sitio”, dijo CISA.
Si bien el problema ya se ha solucionado en las instancias en la nube de los clientes, se recomienda a aquellos que utilizan versiones autohospedadas del software que actualicen a las siguientes versiones:
- Acceso remoto privilegiado (versiones 24.3.1 y anteriores): parche PRA BT24-10-ONPREM1 o BT24-10-ONPREM2
- Soporte remoto (versiones 24.3.1 y anteriores): parche RS BT24-10-ONPREM1 o BT24-10-ONPREM2
Las noticias de explotación activa llegan después de BeyondTrust reveló que fue víctima de un ciberataque a principios de este mes que permitió a actores de amenazas desconocidos violar algunas de sus instancias de Remote Support SaaS.
La compañía, que contó con la ayuda de una firma forense y de ciberseguridad de terceros, dijo que su investigación sobre el incidente encontró que los atacantes obtuvieron acceso a una clave API de SaaS de soporte remoto que les permitió restablecer las contraseñas de las cuentas de aplicaciones locales.
Su investigación desde entonces descubierto otra vulnerabilidad de gravedad media (CVE-2024-126866.6) que puede permitir a un atacante con privilegios administrativos existentes inyectar comandos y ejecutarlos como usuario del sitio. La falla recién descubierta se ha solucionado en las siguientes versiones:
- Acceso remoto privilegiado (PRA): parche PRA BT24-11-ONPREM1, BT24-11-ONPREM2, BT24-11-ONPREM3, BT24-11-ONPREM4, BT24-11-ONPREM5, BT24-11-ONPREM6 y BT24-11- ONPREM7 (depende de la versión PRA)
- Soporte remoto (RS): parche RS BT24-11-ONPREM1, BT24-11-ONPREM2, BT24-11-ONPREM3, BT24-11-ONPREM4, BT24-11-ONPREM5, BT24-11-ONPREM6 y BT24-11-ONPREM7 (depende de la versión RS)
BeyondTrust no menciona ninguna de las vulnerabilidades que se están explotando en la naturaleza. Sin embargo, ha dicho que todos los clientes afectados han sido notificados. Actualmente se desconoce la escala exacta de los ataques, o las identidades de los actores amenazantes detrás de ellos.
The Hacker News se comunicó con la compañía para hacer comentarios y actualizará el artículo si recibimos una respuesta.
About the Author
