La U.S. Cybersecurity and Infrastructure Security Agency (CISA) ha recentemente aggiunto una vulnerabilità critica che coinvolge i prodotti BeyondTrust Privileged Remote Access (PRA) e Remote Support (RS) al catalogo delle Vulnerabilità Sfruttate Conosciute (KEV), indicando prove di sfruttamento attivo. La vulnerabilità, identificata come CVE-2024-12356 con un punteggio CVSS di 9.8, è un difetto di iniezione di comandi che può essere sfruttato da un attore malintenzionato per eseguire comandi arbitrari come utente del sito.
Il problema è stato risolto nelle istanze cloud dei clienti, mentre chi utilizza versioni self-hosted è invitato ad aggiornare alle versioni più recenti. Le versioni aggiornate includono patch specifiche per PRA e RS, come BT24-10-ONPREM1 o BT24-10-ONPREM2 per le versioni 24.3.1 e precedenti.
Questa notizia emerge dopo che BeyondTrust ha rivelato di essere stata vittima di un attacco informatico che ha permesso a attori sconosciuti di violare alcune delle sue istanze SaaS di Remote Support. L'indagine dell'azienda, supportata da una società di cybersecurity e forense di terze parti, ha rilevato che gli attaccanti hanno ottenuto l'accesso a una chiave API di Remote Support SaaS, che ha consentito loro di reimpostare le password degli account applicativi locali.
L'indagine ha inoltre portato alla scoperta di un'altra vulnerabilità di media gravità, CVE-2024-12686, con un punteggio di 6.6. Questo difetto può consentire a un attaccante con privilegi amministrativi esistenti di iniettare comandi ed eseguirli come utente del sito. Anche questo problema è stato affrontato nelle versioni più recenti dei prodotti PRA e RS, con patch come BT24-11-ONPREM1 fino a BT24-11-ONPREM7, a seconda della versione del software.
Nonostante BeyondTrust non abbia menzionato esplicitamente l'uso di queste vulnerabilità in attacchi reali, ha confermato che tutti i clienti interessati sono stati informati. Tuttavia, la scala esatta degli attacchi e l'identità degli attori minacciosi rimangono sconosciute al momento.