BeyondTrust ha revelado detalles de una falla de seguridad crítica en los productos Privileged Remote Access (PRA) y Remote Support (RS) que potencialmente podría conducir a la ejecución de comandos arbitrarios.
Privileged Remote Access controla, administra y audita cuentas y credenciales privilegiadas, ofreciendo acceso de confianza cero a recursos locales y en la nube por parte de usuarios internos, externos y de terceros. El soporte remoto permite al personal de la mesa de servicio conectarse de forma segura a sistemas remotos y dispositivos móviles.
La vulnerabilidad, rastreada como CVE-2024-12356 (Puntuación CVSS: 9,8), se ha descrito como un caso de inyección de comandos.
“Se ha descubierto una vulnerabilidad crítica en los productos Privileged Remote Access (PRA) y Remote Support (RS) que puede permitir a un atacante no autenticado inyectar comandos que se ejecutan como usuario del sitio”, dijo la empresa. dicho en un aviso.
Un atacante podría explotar la falla enviando una solicitud de cliente maliciosa, lo que efectivamente conduciría a la ejecución de sistemas operativos arbitrarios dentro del contexto del usuario del sitio.
El problema afecta a las siguientes versiones:
- Acceso remoto privilegiado (versiones 24.3.1 y anteriores): solucionado en el parche PRA BT24-10-ONPREM1 o BT24-10-ONPREM2
- Soporte remoto (versiones 24.3.1 y anteriores): corregido en el parche RS BT24-10-ONPREM1 o BT24-10-ONPREM2
Ya se aplicó un parche para la vulnerabilidad a las instancias en la nube a partir del 16 de diciembre de 2024. Se recomienda a los usuarios de versiones locales del software que apliquen las últimas correcciones si no están suscritos a actualizaciones automáticas.
“Si los clientes tienen una versión anterior a la 22.1, deberán actualizarla para poder aplicar este parche”, dijo BeyondTrust.
La compañía dijo que la deficiencia se descubrió durante una investigación forense en curso que se inició luego de un “incidente de seguridad” el 2 de diciembre de 2024, que involucró a un “número limitado de clientes de SaaS de soporte remoto”.
“Un análisis de la causa raíz de un problema de Remote Support SaaS identificó que una clave API para Remote Support SaaS había sido comprometida”, BeyondTrust dichoy agregó que “inmediatamente revocó la clave API, notificó a los clientes conocidos afectados y suspendió esas instancias el mismo día mientras proporcionaba instancias alternativas de SaaS de soporte remoto para esos clientes”.
BeyondTrust también dijo que todavía está trabajando para determinar la causa y el impacto del compromiso en asociación con una “empresa forense y de ciberseguridad” anónima.