BeyondTrust a divulgué les détails d’une faille de sécurité critique dans les produits Privileged Remote Access (PRA) et Remote Support (RS) qui pourrait potentiellement conduire à l’exécution de commandes arbitraires.
Privileged Remote Access contrôle, gère et audite les comptes et informations d’identification privilégiés, offrant un accès zéro confiance aux ressources sur site et dans le cloud pour les utilisateurs internes, externes et tiers. Le support à distance permet au personnel du centre de services de se connecter en toute sécurité aux systèmes distants et aux appareils mobiles.
La vulnérabilité, suivie comme CVE-2024-12356 (score CVSS : 9,8), a été décrit comme un exemple d’injection de commandes.
“Une vulnérabilité critique a été découverte dans les produits Privileged Remote Access (PRA) et Remote Support (RS), qui peut permettre à un attaquant non authentifié d’injecter des commandes exécutées en tant qu’utilisateur du site”, a déclaré la société. dit dans un avis.
Un attaquant pourrait exploiter la faille en envoyant une requête client malveillante, conduisant effectivement à l’exécution de systèmes d’exploitation arbitraires dans le contexte de l’utilisateur du site.
Le problème affecte les versions suivantes –
- Accès à distance privilégié (versions 24.3.1 et antérieures) – Corrigé dans le correctif PRA BT24-10-ONPREM1 ou BT24-10-ONPREM2
- Assistance à distance (versions 24.3.1 et antérieures) – Corrigé dans le patch RS BT24-10-ONPREM1 ou BT24-10-ONPREM2
Un correctif pour cette vulnérabilité a déjà été appliqué aux instances cloud le 16 décembre 2024. Il est recommandé aux utilisateurs de versions sur site du logiciel d’appliquer les derniers correctifs s’ils ne sont pas abonnés aux mises à jour automatiques.
“Si les clients utilisent une version antérieure à 22.1, ils devront effectuer une mise à niveau afin d’appliquer ce correctif”, a déclaré BeyondTrust.
La société a déclaré que la faille avait été découverte lors d’une enquête médico-légale en cours lancée à la suite d’un « incident de sécurité » survenu le 2 décembre 2024, impliquant un « nombre limité de clients SaaS de support à distance ».
“Une analyse des causes profondes d’un problème de support à distance SaaS a identifié qu’une clé API pour le support à distance SaaS avait été compromise”, BeyondTrust ditajoutant qu’il “a immédiatement révoqué la clé API, informé les clients concernés connus et suspendu ces instances le même jour tout en fournissant des instances SaaS de support à distance alternatives pour ces clients”.
BeyondTrust a également déclaré qu’elle travaillait toujours pour déterminer la cause et l’impact de la compromission en partenariat avec une « société de cybersécurité et d’investigation » anonyme.