新的研究发现多种隧道协议中存在安全漏洞，可能允许攻击者进行大范围攻击。

Top10VPN在与鲁汶大学教授兼研究员 Mathy Vanhoef 合作开展的一项研究中指出： “未经验证发送者身份而接受隧道数据包的互联网主机可能被劫持，从而发起匿名攻击并提供对其网络的访问权限。”

有多达 420 万台主机被发现易受攻击，包括 VPN 服务器、ISP 家庭路由器、核心互联网路由器、移动网络网关和内容交付网络 (CDN) 节点。中国、法国、日本、美国和巴西是受影响最严重的国家。

成功利用这些缺陷可以让对手滥用易受攻击的系统作为单向代理，以及进行拒绝服务（DoS）攻击。

CERT 协调中心 (CERT/CC) 在一份公告中表示： “攻击者可以滥用这些安全漏洞来创建单向代理并伪造源 IPv4/6 地址。易受攻击的系统还可能允许访问组织的专用网络或被滥用来执行 DDoS 攻击。”

这些漏洞的根源在于，IP6IP6、GRE6、4in6 和 6in4 等隧道协议主要用于促进两个断开连接的网络之间的数据传输，如果没有像 Internet 协议安全 ( IPsec ) 这样的足够的安全协议，它们就不会对流量进行身份验证和加密。

由于缺乏额外的安全防护，攻击者可以将恶意流量注入隧道，这是2020 年曾被标记的漏洞 ( CVE-2020-10136 ) 的变体。

针对相关协议，他们被分配了以下 CVE 标识符 -

CVE-2024-7595（GRE 和 GRE6）
CVE-2024-7596（通用 UDP 封装）
CVE-2025-23018（IPv4-in-IPv6 和 IPv6-in-IPv6）
CVE-2025-23019（IPv6 转 IPv4）
Top10VPN 的 Simon Migliano 解释说：“攻击者只需发送使用受影响的协议之一封装的带有两个 IP 标头的数据包即可。”

“外部标头包含攻击者的源 IP，以易受攻击的主机的 IP 作为目标。内部标头的源 IP 是易受攻击的主机 IP，而不是攻击者的 IP。目标 IP 是匿名攻击的目标 IP。”

因此，当易受攻击的主机收到恶意数据包时，它会自动剥离外部 IP 地址标头并将内部数据包转发到其目的地。鉴于内部数据包上的源 IP 地址是易受攻击但受信任的主机的 IP 地址，它能够绕过网络过滤器。

作为防御措施，建议使用 IPSec 或 WireGuard 提供身份验证和加密，并且只接受来自可信来源的隧道数据包。在网络层面，还建议在路由器和中间盒上实施流量过滤，执行深度数据包检测 (DPI)，并阻止所有未加密的隧道数据包。

Migliano 表示：“这些 DoS 攻击对受害者的影响包括网络拥塞、服务中断（因为流量过载会消耗资源）以及超载网络设备崩溃。它还为进一步的攻击提供了机会，例如中间人攻击和数据拦截。”

网络安全研究人员发现，旨在禁用 NT LAN 管理器 (NTLM) v1 的 Microsoft Active Directory 组策略可以通过错误配置轻易绕过。

Silverfort 研究员 Dor Segal在与 The Hacker News 分享的一份报告中表示： “内部应用程序中的简单配置错误可以覆盖组策略，从而有效地否定旨在阻止 NTLMv1 身份验证的组策略。”

NTLM 仍是一种广泛使用的机制，尤其是在 Windows 环境中，用于通过网络对用户进行身份验证。旧版协议虽然不会因向后兼容性要求而被删除，但自 2024 年中期起已被弃用。

去年年底，微软从 Windows 11 版本 24H2 和 Windows Server 2025 开始正式删除了NTLMv1。虽然 NTLMv2 引入了新的缓解措施，使执行中继攻击变得更加困难，但该技术受到多个安全漏洞的困扰，威胁行为者积极 利用这些漏洞来访问敏感数据。

利用这些缺陷的目的是强迫受害者向任意端点进行身份验证，或将身份验证信息转发到易受攻击的目标并代表受害者执行恶意操作。

“组策略机制是微软在网络上禁用 NTLMv1 的解决方案，”Segal 解释道。“LMCompatibilityLevel 注册表项会阻止域控制器评估 NTLMv1 消息，并在使用 NTLMv1 进行身份验证时返回错误密码错误 (0xC000006A)。

然而，Silverfort 的调查发现，可以利用 Netlogon 远程协议 ( MS-NRPC ) 中的设置来绕过组策略并仍然使用 NTLMv1 身份验证。

具体来说，它利用一个名为NETLOGON_LOGON_IDENTITY_INFO的数据结构，其中包含一个名为 ParameterControl 的字段，而该字段又具有“当仅允许 NTLMv2（NTLM）时允许 NTLMv1 身份验证（MS-NLMP）”的配置。

Segal 说：“这项研究表明，可以配置内部部署应用程序以启用 NTLMv1，从而否定 Active Directory 中设置的组策略 LAN 管理器身份验证级别的最高级别。”

“这意味着，组织认为设置这个组策略是正确的事情，但它仍然被配置错误的应用程序绕过。”

为了减轻 NTLMv1 带来的风险，必须为域中的所有 NTLM 身份验证启用审计日志，并留意要求客户端使用 NTLMv1 消息的易受攻击的应用程序。不言而喻，建议组织保持其系统为最新版本。

最新发现源于安全研究员 Haifei Li 的一份报告，报告称在野外发现的 PDF 工件存在“零日行为”，在某些条件下使用 Adob​​e Reader 或 Foxit PDF Reader 打开时，可能会泄露本地网络 NTLM 信息。Foxit Software 已在 Windows 版本 2024.4 中解决了该问题。

HN 安全研究员 Alessandro Iandoli 还详细介绍了如何绕过 Windows 11（24H2 之前的版本）中的各种安全功能，以实现内核级的任意代码执行。

有关现已修补的安全漏洞的详细信息已经浮出水面，该漏洞可能允许绕过统一可扩展固件接口 (UEFI) 系统中的安全启动机制。

根据ESET 与 The Hacker News 分享的新报告，该漏洞的 CVE 标识符为CVE-2024-7344（CVSS 分数：6.7），位于由微软“Microsoft Corporation UEFI CA 2011”第三方 UEFI 证书签名的 UEFI 应用程序中。

成功利用该漏洞可导致系统启动期间执行不受信任的代码，从而使攻击者能够在启用安全启动的机器上部署恶意 UEFI 启动套件，而不管所安装的操作系统是什么。

安全启动是一种固件安全标准，可确保设备仅使用原始设备制造商 (OEM) 信任的软件进行启动，从而防止计算机启动时加载恶意软件。该功能利用数字签名来验证加载代码的真实性、来源和完整性。

受影响的 UEFI 应用程序是 Howyar Technologies Inc.、Greenware Technologies、Radix Technologies Ltd.、SANFONG Inc.、Wasay Software Technology Inc.、Computer Education System Inc. 和 Signal Computer GmbH 开发的几款实时系统恢复软件套件的一部分 -

Howyar SysReturn 10.2.023_20240919 之前的版本
Greenware GreenGuard 10.2.023-20240927 之前的版本
Radix SmartRecovery 11.2.023-20240927 之前的版本
三峰EZ-back系统10.3.024-20241127之前版本
WASAY eRecoveryRX 8.4.022-20241127 之前的版本
CES NeoImpact 10.1.024-20241127 之前版本
SignalComputer HDD King 10.3.021-20241127 之前版本

ESET 研究员 Martin Smolár 表示： “该漏洞是由于使用自定义 PE 加载程序而不是使用标准且安全的 UEFI 函数LoadImage和StartImage而导致的。因此，无论 UEFI 安全启动状态如何，该应用程序都允许在系统启动期间从名为 cloak.dat 的特制文件加载任何 UEFI 二进制文件（甚至是未签名的二进制文件）。”

因此，利用 CVE-2024-7344 的攻击者可以绕过 UEFI 安全启动保护，并在操作系统加载之前在 UEFI 上下文中的启动过程中执行未签名的代码，从而授予他们对主机的隐蔽、持久的访问权限。

CERT 协调中心 (CERT/CC)表示：“在此早期启动阶段执行的代码可以保留在系统中，可能会加载恶意内核扩展，这些扩展在重新启动和操作系统重新安装后仍会存在。此外，它可能会逃避基于操作系统和端点检测和响应 (EDR) 安全措施的检测。”

恶意攻击者可以通过将自己的易受攻击的“reloader.efi”二进制文件副本带到任何已注册 Microsoft 第三方 UEFI 证书的 UEFI 系统，进一步扩大利用范围。但是，需要提升权限才能将易受攻击的恶意文件部署到 EFI 系统分区：Windows 上的本地管理员和 Linux 上的 root。

这家斯洛伐克网络安全公司表示，它于 2024 年 6 月负责任地向 CERT/CC 披露了调查结果，随后 Howyar Technologies 及其合作伙伴在相关产品中解决了该问题。2025 年 1 月 14 日，微软在其补丁星期二更新中撤销了旧的易受攻击的二进制文件。

除了应用 UEFI 撤销之外，管理对位于 EFI 系统分区上的文件的访问、安全启动定制以及使用可信平台模块 ( TPM ) 进行远程证明是防止利用未知的易受攻击的签名 UEFI 引导加载程序和部署 UEFI 引导套件的其他一些方法。

Smolár 表示：“近年来发现的 UEFI 漏洞数量，以及在合理时间范围内修补这些漏洞或撤销易受攻击的二进制文件的失败表明，即使是像 UEFI 安全启动这样重要的功能也不应被视为坚不可摧的屏障。”

“然而，关于这个漏洞，我们最担心的不是修复和撤销二进制文件所花的时间，与类似情况相比，这个时间已经很不错了，但事实是，这并不是第一次发现这种明显不安全的签名 UEFI 二进制文件。这引发了这样的疑问：第三方 UEFI 软件供应商使用这种不安全技术有多普遍，以及可能还有多少其他类似的晦涩难懂但签名的引导加载程序。”

总部位于台湾的 Moxa警告称，其蜂窝路由器、安全路由器和网络安全设备存在两个安全漏洞，可能导致权限提升和命令执行。

漏洞列表如下：

CVE-2024-9138（CVSS 4.0 评分：8.6） - 一种硬编码凭证漏洞，可能允许经过身份验证的用户提升权限并获得系统的根级访问权限，从而导致系统入侵、未经授权的修改、数据泄露或服务中断
CVE-2024-9140（CVSS 4.0 评分：9.3） - 该漏洞允许攻击者利用特殊字符绕过输入限制，从而可能导致未经授权的命令执行
安全研究员 Lars Haulin 报告称，这些缺陷影响以下产品和固件版本 -

CVE-2024-9138 - EDR-810 系列（固件版本 5.12.37 及更早版本）、EDR-8010 系列（固件版本 3.13.1 及更早版本）、EDR-G902 系列（固件版本 5.7.25 及更早版本）、EDR-G902 系列（固件版本 5.7.25 及更早版本）、EDR-G9004 系列（固件版本 3.13.1 及更早版本）、EDR-G9010 系列（固件版本 3.13.1 及更早版本）、EDF-G1002-BP 系列（固件版本 3.13.1 及更早版本）、NAT-102 系列（固件版本 1.0.5 及更早版本）、OnCell G4302-LTE4 系列（固件版本 3.13 及更早版本）以及 TN-4900 系列（固件版本 3.13 及更早版本）更早）
CVE-2024-9140 - EDR-8010 系列（固件版本 3.13.1 及更早版本）、EDR-G9004 系列（固件版本 3.13.1 及更早版本）、EDR-G9010 系列（固件版本 3.13.1 及更早版本）、EDF-G1002-BP 系列（固件版本 3.13.1 及更早版本）、NAT-102 系列（固件版本 1.0.5 及更早版本）、OnCell G4302-LTE4 系列（固件版本 3.13 及更早版本）和 TN-4900 系列（固件版本 3.13 及更早版本）

已为以下版本提供补丁 -

EDR-810 系列（升级至固件版本 3.14 或更高版本）
EDR-8010 系列（升级至固件版本 3.14 或更高版本）
EDR-G902 系列（升级至固件版本 3.14 或更高版本）
EDR-G903 系列 (升级至固件版本 3.14 或更高版本)
EDR-G9004 系列 (升级至固件版本 3.14 或更高版本)
EDR-G9010 系列 (升级至固件版本 3.14 或更高版本)
EDF-G1002-BP系列（升级至固件版本3.14或更高版本）
NAT-102 系列（无官方补丁可用）
OnCell G4302-LTE4 系列（请联系 Moxa 技术支持）
TN-4900 系列（请联系 Moxa 技术支持）
作为缓解措施，建议确保设备不暴露在互联网上，使用防火墙规则或 TCP 包装器限制对受信任的 IP 地址和网络的 SSH 访问，并采取措施检测和防止利用尝试。

ProjectDiscovery 的广泛使用的开源漏洞扫描程序Nuclei被披露存在一个高严重性安全漏洞，如果成功利用，攻击者可以绕过签名检查并可能执行恶意代码。

该漏洞的编号为CVE-2024-43405，CVSS 评分为 7.4（满分 10.0）。该漏洞影响 Nuclei 3.0.0 之后的所有版本。

根据漏洞描述： “该漏洞源于签名验证过程和 YAML 解析器处理换行符的方式之间的差异，以及处理多个签名的方式。”

“这使得攻击者可以将恶意内容注入模板，同时保留模板良性部分的有效签名。”

Nuclei 是一款漏洞扫描器，旨在探测现代应用程序、基础设施、云平台和网络以识别安全漏洞。扫描引擎利用模板（即 YAML 文件）发送特定请求以确定是否存在漏洞。

此外，它可以使用代码协议在主机操作系统上执行外部代码，从而为研究人员提供更灵活的安全测试工作流程。

发现 CVE-2024-43405 的云安全公司 Wiz 表示，该漏洞根源于模板签名验证过程，该过程用于确保官方模板库中提供的模板的完整性。

成功利用此漏洞可以绕过这一关键的验证步骤，允许攻击者制作可执行任意代码并访问主机敏感数据的恶意模板。

Wiz 研究员 Guy Goldenberg在周五的分析中表示： “由于此签名验证是目前验证 Nuclei 模板的唯一方法，因此它代表着一个潜在的单点故障。”

从本质上讲，该问题源于使用正则表达式 (又名 regex) 进行签名验证，以及由于同时使用正则表达式和 YAML 解析器而产生的解析冲突，从而为攻击者引入“\r”字符打开了大门，这样它就可以绕过基于正则表达式的签名验证，并被 YAML 解析器解释为换行符。

换句话说，这些解析不一致可以链接起来以创建一个 Nuclei 模板，该模板使用“\r”来包含第二个“#digest:”行，以逃避签名验证过程，但由 YAML 解释器解析和执行。

Goldenberg 解释说：“Go 基于正则表达式的签名验证将 \r 视为同一行的一部分，而 YAML 解析器将其解释为换行符。这种不匹配允许攻击者注入绕过验证但由 YAML 解析器执行的内容。”

“验证逻辑仅验证第一个 #digest: 行。其他 #digest: 行在验证期间将被忽略，但仍保留在要由 YAML 解析和执行的内容中。”

此外，验证过程包括从模板内容中排除签名行的步骤，但只验证第一行，而后续行未经验证但可执行。

经过负责任的披露，ProjectDiscovery 于 2024 年 9 月 4 日解决了这个问题，版本为 3.3.2。Nuclei 的当前版本是 3.3.7。

Goldenberg 说：“攻击者可以制作包含操纵的#摘要行或精心放置的\r换行符的恶意模板，以绕过 Nuclei 的签名验证。”

“当组织运行不受信任或社区贡献的模板而没有进行适当的验证或隔离时，就会出现此漏洞的攻击媒介。攻击者可以利用此功能注入恶意模板，导致任意命令执行、数据泄露或系统入侵。”

Apache 软件基金会 (ASF) 已发布安全更新来修复流量控制中的一个严重安全漏洞，如果成功利用该漏洞，攻击者可以在数据库中执行任意结构化查询语言 (SQL) 命令。

该 SQL 注入漏洞的编号为CVE-2024-45387，在 CVSS 评分系统中的评分为 9.9 分（满分 10.0 分）。

项目维护人员在一份公告中表示：“Apache Traffic Control <= 8.0.1、>= 8.0.0 中的 Traffic Ops 中存在一个 SQL 注入漏洞，允许具有‘管理员’、‘联合’、‘操作’、‘门户’或‘指导’角色的特权用户通过发送特制的 PUT 请求对数据库执行任意 SQL 。 ”

Apache Traffic Control是内容分发网络 (CDN) 的开源实现。它于 2018 年 6 月被AS宣布为顶级项目 (TLP)。

腾讯云顶安全实验室研究员罗远发现并报告了该漏洞。该漏洞已在 Apache Traffic Control 8.0.2 版本中得到修复。

此次开发正值 ASF解决了Apache HugeGraph-Server (CVE-2024-43441) 1.0 至 1.3 版本中的身份验证绕过漏洞。1.5.0 版本中已发布了针对该缺陷的修复程序。

它还发布了针对 Apache Tomcat（CVE-2024-56337）中一个重要漏洞的补丁，该漏洞可能在某些条件下导致远程代码执行（RCE）。

建议用户将其实例更新到软件的最新版本，以防范潜在威胁。

根据 VulnCheck 的最新发现，影响部分 Four-Faith 路由器的高严重性漏洞已在野外遭到积极利用。

该漏洞的编号为CVE-2024-12856（CVSS 评分：7.2），被描述为影响路由器型号 F3x24 和 F3x36 的操作系统 (OS) 命令注入漏洞。

由于该漏洞仅当远程攻击者能够成功验证身份时才会起作用，因此其严重性较低。但是，如果与路由器关联的默认凭据未更改，则可能导致未经验证的操作系统命令执行。

在 VulnCheck 详述的攻击中，发现未知威胁行为者利用路由器的默认凭据来触发 CVE-2024-12856 的利用并启动反向 shell 以实现持久远程访问。

此次攻击尝试源自 IP 地址178.215.238[.]91，该地址之前曾用于试图利用CVE-2019-12168进行攻击，这是影响 Four-Faith 路由器的另一个远程代码执行漏洞。据威胁情报公司 GreyNoise 称，最近一次利用 CVE-2019-12168 的尝试是在 2024 年 12 月 19 日。

Jacob Baines 在一份报告中表示： “至少可以通过 HTTP 使用 /apply.cgi 端点对 Four-Faith F3x24 和 F3x36 进行攻击。通过submit_type=adjust_sys_time 修改设备的系统时间时，系统容易受到 adj_time_year 参数中的操作系统命令注入攻击。”

Censys 的数据显示，有超过 15,000 台面向互联网的设备。有证据表明，利用该漏洞的攻击可能至少从 2024 年 11 月初就开始了。

目前尚无关于补丁可用性的信息，但 VulnCheck 表示已于 2024 年 12 月 20 日负责任地向这家中国公司报告了该漏洞。Hacker News 在本文发布之前已联系 Four-Faith 征求意见，如果收到回复，我们将更新本文。

Apache 软件基金会 (ASF) 发布了安全更新，以解决其 Tomcat 服务器软件中的一个重要漏洞，该漏洞可能在某些条件下导致远程代码执行 (RCE)。

该漏洞被追踪为CVE-2024-56337，被描述为CVE-2024-50379（CVSS 评分：9.8）的不完整缓解措施，CVE-2024-50379 是同一产品中的另一个严重安全漏洞，此前已于 2024 年 12 月 17 日得到解决。

项目维护人员在上周的公告中表示：“在不区分大小写的文件系统上运行 Tomcat，并且默认启用了 servlet 写入（将只读初始化参数设置为非默认值 false）的用户可能需要进行额外配置才能完全缓解 CVE-2024-50379，具体取决于他们在 Tomcat 中使用哪个版本的 Java。”

这两个缺陷都是检查时使用时（TOCTOU）竞争条件漏洞，当启用默认 servlet 进行写入时，可能导致在不区分大小写的文件系统上执行代码。

Apache 在 CVE-2024-50379 警报中指出：“在负载下同时读取和上传同一文件可以绕过 Tomcat 的大小写敏感检查，并导致上传的文件被视为 JSP，从而导致远程代码执行。”

CVE-2024-56337 影响以下版本的 Apache Tomcat -

Apache Tomcat 11.0.0-M1 至 11.0.1（在 11.0.2 或更高版本中修复）
Apache Tomcat 10.1.0-M1 至 10.1.33（在 10.1.34 或更高版本中修复）
Apache Tomcat 9.0.0.M1 至 9.0.97（在 9.0.98 或更高版本中修复）
此外，用户需要根据所运行的 Java 版本执行以下配置更改 -

Java 8 或 Java 11 - 将系统属性 sun.io.useCanonCaches 明确设置为 false（默认为 true）
Java 17 - 如果已设置，则将系统属性 sun.io.useCanonCaches 设置为 false（默认为 false）
Java 21 及更高版本 - 无需采取任何措施，因为系统属性已被删除

ASF 感谢安全研究人员 Nacl、WHOAMI、Yemoli 和 Ruozhi 发现并报告了这两个漏洞。它还感谢 KnownSec 404 团队独立报告了 CVE-2024-56337 以及概念验证 (PoC) 代码。

此次披露之际，零日计划 (ZDI) 分享了 Webmin 中的一个严重漏洞 (CVE-2024-12828，CVSS 评分：9.9) 的详细信息，该漏洞允许经过身份验证的远程攻击者执行任意代码。

ZDI表示： “该特定缺陷存在于 CGI 请求的处理中。该问题源于在使用用户提供的字符串执行系统调用之前未对其进行适当验证。攻击者可以利用此漏洞在 root 上下文中执行代码。”

BeyondTrust 披露了特权远程访问 (PRA) 和远程支持 (RS) 产品中的一个严重安全漏洞的详细信息，该漏洞可能会导致执行任意命令。

特权远程访问可控制、管理和审核特权帐户和凭据，为内部、外部和第三方用户提供对本地和云资源的零信任访问。远程支持允许服务台人员安全地连接到远程系统和移动设备。

该漏洞被标记为CVE-2024-12356（CVSS 评分：9.8），被描述为命令注入的一个实例。

该公司在一份公告中表示： “特权远程访问 (PRA) 和远程支持 (RS) 产品中发现了一个严重漏洞，该漏洞允许未经身份验证的攻击者注入以站点用户身份运行的命令。”

攻击者可以通过发送恶意客户端请求来利用此漏洞，从而导致在站点用户的上下文中执行任意操作系统。

该问题影响以下版本 -

特权远程访问（版本 24.3.1 及更早版本）- 已在 PRA 补丁 BT24-10-ONPREM1 或 BT24-10-ONPREM2 中修复
远程支持（版本 24.3.1 及更早版本）- 已在 RS 补丁 BT24-10-ONPREM1 或 BT24-10-ONPREM2 中修复
截至 2024 年 12 月 16 日，该漏洞的补丁已应用于云实例。如果软件本地版本的用户未订阅自动更新，建议他们应用最新修复程序。

BeyondTrust 表示：“如果客户使用的是 22.1 之前的版本，他们将需要升级才能应用此补丁。”

该公司表示，这一缺陷是在 2024 年 12 月 2 日发生一起“安全事件”后启动的一项正在进行的取证调查中发现的，该事件涉及“有限数量的远程支持 SaaS 客户”。

BeyondTrust表示：“对远程支持 SaaS 问题的根本原因分析发现，远程支持 SaaS 的 API 密钥已被泄露”，并补充说“它立即撤销了 API 密钥，通知了已知受影响的客户，并在同一天暂停了这些实例，同时为这些客户提供替代的远程支持 SaaS 实例。”

BeyondTrust 还表示，它仍在与一家未具名的“网络安全和取证公司”合作，努力确定此次入侵的原因和影响。

美国网络安全和基础设施安全局 (CISA) 周四将影响 BeyondTrust 特权远程访问 (PRA) 和远程支持 (RS) 产品的严重安全漏洞添加到已知被利用漏洞 ( KEV ) 目录中，并指出有证据表明该漏洞正在被积极利用。

该漏洞被标记为CVE-2024-12356（CVSS 评分：9.8），是一个命令注入漏洞，恶意行为者可以利用该漏洞以网站用户的身份运行任意命令。

CISA 表示：“BeyondTrust 特权远程访问 (PRA) 和远程支持 (RS) 包含命令注入漏洞，这可能允许未经身份验证的攻击者注入以站点用户身份运行的命令。”

虽然该问题已被植入客户的云实例中，但建议使用自托管版本软件的用户更新到以下版本 -

特权远程访问（版本 24.3.1 及更早版本）- PRA 补丁 BT24-10-ONPREM1 或 BT24-10-ONPREM2
远程支持（版本 24.3.1 及更早版本）- RS 补丁 BT24-10-ONPREM1 或 BT24-10-ONPREM2
在 BeyondTrust 本月早些时候透露其遭受网络攻击之后，主动攻击的消息传出，此次攻击导致未知威胁行为者侵入其部分远程支持 SaaS 实例。

该公司已寻求第三方网络安全和取证公司的帮助，并表示对该事件的调查发现，攻击者获得了远程支持 SaaS API 密钥，从而可以重置本地应用程序帐户的密码。

此后，其调查又发现了另一个中等严重性漏洞（CVE-2024-12686，6.6），该漏洞允许具有现有管理权限的攻击者注入命令并以站点用户身份运行。新发现的漏洞已在以下版本中得到解决 -

特权远程访问 (PRA) - PRA 补丁 BT24-11-ONPREM1、BT24-11-ONPREM2、BT24-11-ONPREM3、BT24-11-ONPREM4、BT24-11-ONPREM5、BT24-11-ONPREM6 和 BT24-11-ONPREM7（取决于 PRA 版本）
远程支持 (RS) - RS 补丁 BT24-11-ONPREM1、BT24-11-ONPREM2、BT24-11-ONPREM3、BT24-11-ONPREM4、BT24-11-ONPREM5、BT24-11-ONPREM6 和 BT24-11-ONPREM7（取决于 RS 版本）

BeyondTrust 没有提及这两个漏洞是否已被利用。不过，该公司表示已通知所有受影响的客户。目前尚不清楚攻击的具体规模，以及幕后威胁者的身份。