BeyondTrust telah mengungkapkan rincian kelemahan keamanan kritis pada produk Privileged Remote Access (PRA) dan Remote Support (RS) yang berpotensi mengarah pada pelaksanaan perintah sewenang-wenang.
Akses Jarak Jauh yang Istimewa mengontrol, mengelola, dan mengaudit akun dan kredensial yang memiliki hak istimewa, menawarkan akses tanpa kepercayaan ke sumber daya lokal dan cloud oleh pengguna internal, eksternal, dan pihak ketiga. Dukungan Jarak Jauh memungkinkan personel meja layanan terhubung dengan aman ke sistem jarak jauh dan perangkat seluler.
Kerentanannya, dilacak sebagai CVE-2024-12356 (Skor CVSS: 9.8), telah digambarkan sebagai contoh injeksi perintah.
“Kerentanan kritis telah ditemukan pada produk Privileged Remote Access (PRA) dan Remote Support (RS) yang memungkinkan penyerang yang tidak diautentikasi untuk memasukkan perintah yang dijalankan sebagai pengguna situs,” kata perusahaan itu dalam sebuah nasihat.
Penyerang dapat mengeksploitasi kelemahan tersebut dengan mengirimkan permintaan klien jahat, yang secara efektif mengarah pada eksekusi sistem operasi sewenang-wenang dalam konteks pengguna situs.
Masalah ini berdampak pada versi berikut –
- Akses Jarak Jauh Istimewa (versi 24.3.1 dan sebelumnya) – Diperbaiki dalam patch PRA BT24-10-ONPREM1 atau BT24-10-ONPREM2
- Dukungan Jarak Jauh (versi 24.3.1 dan sebelumnya) – Diperbaiki di patch RS BT24-10-ONPREM1 atau BT24-10-ONPREM2
Patch untuk kerentanan telah diterapkan pada instans cloud mulai 16 Desember 2024. Pengguna perangkat lunak versi lokal disarankan untuk menerapkan perbaikan terbaru jika mereka tidak berlangganan pembaruan otomatis.
“Jika pelanggan menggunakan versi yang lebih lama dari 22.1, mereka perlu melakukan upgrade untuk menerapkan patch ini,” kata BeyondTrust.
Perusahaan mengatakan kekurangan tersebut terungkap selama penyelidikan forensik yang sedang berlangsung yang dimulai setelah “insiden keamanan” pada 2 Desember 2024, yang melibatkan “sejumlah pelanggan SaaS Dukungan Jarak Jauh.”
“Analisis akar masalah pada masalah SaaS Dukungan Jarak Jauh mengidentifikasi kunci API untuk SaaS Dukungan Jarak Jauh telah disusupi,” kata BeyondTrust, seraya menambahkan bahwa pihaknya “segera mencabut kunci API, memberi tahu pelanggan yang diketahui terkena dampak, dan menangguhkan kejadian tersebut pada hari yang sama sambil menyediakan contoh SaaS Dukungan Jarak Jauh alternatif untuk pelanggan tersebut.”
BeyondTrust juga mengatakan pihaknya masih berupaya untuk menentukan penyebab dan dampak kompromi tersebut melalui kemitraan dengan “perusahaan keamanan siber dan forensik” yang tidak disebutkan namanya.
