Badan Keamanan Siber dan Infrastruktur AS (CISA) pada hari Kamis menambahkan kelemahan keamanan kritis yang berdampak pada produk BeyondTrust Privileged Remote Access (PRA) dan Remote Support (RS) ke dalam katalog Known Exploited Vulnerabilities (KEV), dengan mengutip bukti eksploitasi aktif di alam liar. .
Kerentanannya, yang dilacak sebagai CVE-2024-12356 (skor CVSS: 9.8), adalah kelemahan injeksi perintah yang dapat dieksploitasi oleh aktor jahat untuk menjalankan perintah sewenang-wenang sebagai pengguna situs.
“BeyondTrust Privileged Remote Access (PRA) dan Remote Support (RS) mengandung kerentanan injeksi perintah, yang memungkinkan penyerang yang tidak diautentikasi untuk memasukkan perintah yang dijalankan sebagai pengguna situs,” kata CISA.
Meskipun masalah ini telah terjadi pada instance cloud pelanggan, mereka yang menggunakan versi perangkat lunak yang dihosting sendiri disarankan untuk memperbarui ke versi di bawah ini –
- Akses Jarak Jauh Istimewa (versi 24.3.1 dan yang lebih lama) – patch PRA BT24-10-ONPREM1 atau BT24-10-ONPREM2
- Dukungan Jarak Jauh (versi 24.3.1 dan sebelumnya) – RS patch BT24-10-ONPREM1 atau BT24-10-ONPREM2
Berita tentang eksploitasi aktif muncul setelah BeyondTrust mengungkapkan bahwa mereka adalah korban serangan dunia maya awal bulan ini yang memungkinkan pelaku ancaman tak dikenal untuk melanggar beberapa contoh SaaS Dukungan Jarak Jauh.
Perusahaan tersebut, yang telah meminta bantuan dari perusahaan keamanan siber dan forensik pihak ketiga, mengatakan penyelidikannya terhadap insiden tersebut menemukan bahwa para penyerang memperoleh akses ke kunci API SaaS Dukungan Jarak Jauh yang memungkinkan mereka mengatur ulang kata sandi untuk akun aplikasi lokal.
Penyelidikannya telah menemukan kerentanan tingkat keparahan menengah lainnya (CVE-2024-12686, 6.6) yang memungkinkan penyerang dengan hak administratif untuk memasukkan perintah dan dijalankan sebagai pengguna situs. Cacat yang baru ditemukan telah diatasi pada versi di bawah ini –
- Akses Jarak Jauh Istimewa (PRA) – Patch PRA BT24-11-ONPREM1, BT24-11-ONPREM2, BT24-11-ONPREM3, BT24-11-ONPREM4, BT24-11-ONPREM5, BT24-11-ONPREM6, dan BT24-11- ONPREM7 (tergantung pada versi PRA)
- Dukungan Jarak Jauh (RS) – Patch RS BT24-11-ONPREM1, BT24-11-ONPREM2, BT24-11-ONPREM3, BT24-11-ONPREM4, BT24-11-ONPREM5, BT24-11-ONPREM6, dan BT24-11-ONPREM7 (tergantung pada versi RS)
BeyondTrust tidak menyebutkan salah satu kerentanan yang dieksploitasi secara liar. Namun, dikatakan bahwa semua pelanggan yang terkena dampak telah diberitahu. Skala pasti serangan tersebut, atau identitas pelaku ancaman di balik serangan tersebut, belum diketahui saat ini.
The Hacker News telah menghubungi perusahaan tersebut untuk memberikan komentar, dan akan memperbarui artikel tersebut jika kami mendengarnya kembali.
