BeyondTrust 披露了特权远程访问 (PRA) 和远程支持 (RS) 产品中的一个严重安全漏洞的详细信息，该漏洞可能会导致执行任意命令。

特权远程访问可控制、管理和审核特权帐户和凭据，为内部、外部和第三方用户提供对本地和云资源的零信任访问。远程支持允许服务台人员安全地连接到远程系统和移动设备。

该漏洞被标记为CVE-2024-12356（CVSS 评分：9.8），被描述为命令注入的一个实例。

该公司在一份公告中表示： “特权远程访问 (PRA) 和远程支持 (RS) 产品中发现了一个严重漏洞，该漏洞允许未经身份验证的攻击者注入以站点用户身份运行的命令。”

攻击者可以通过发送恶意客户端请求来利用此漏洞，从而导致在站点用户的上下文中执行任意操作系统。

该问题影响以下版本 -

特权远程访问（版本 24.3.1 及更早版本）- 已在 PRA 补丁 BT24-10-ONPREM1 或 BT24-10-ONPREM2 中修复
远程支持（版本 24.3.1 及更早版本）- 已在 RS 补丁 BT24-10-ONPREM1 或 BT24-10-ONPREM2 中修复
截至 2024 年 12 月 16 日，该漏洞的补丁已应用于云实例。如果软件本地版本的用户未订阅自动更新，建议他们应用最新修复程序。

BeyondTrust 表示：“如果客户使用的是 22.1 之前的版本，他们将需要升级才能应用此补丁。”

该公司表示，这一缺陷是在 2024 年 12 月 2 日发生一起“安全事件”后启动的一项正在进行的取证调查中发现的，该事件涉及“有限数量的远程支持 SaaS 客户”。

BeyondTrust表示：“对远程支持 SaaS 问题的根本原因分析发现，远程支持 SaaS 的 API 密钥已被泄露”，并补充说“它立即撤销了 API 密钥，通知了已知受影响的客户，并在同一天暂停了这些实例，同时为这些客户提供替代的远程支持 SaaS 实例。”

BeyondTrust 还表示，它仍在与一家未具名的“网络安全和取证公司”合作，努力确定此次入侵的原因和影响。

美国网络安全和基础设施安全局 (CISA) 周四将影响 BeyondTrust 特权远程访问 (PRA) 和远程支持 (RS) 产品的严重安全漏洞添加到已知被利用漏洞 ( KEV ) 目录中，并指出有证据表明该漏洞正在被积极利用。

该漏洞被标记为CVE-2024-12356（CVSS 评分：9.8），是一个命令注入漏洞，恶意行为者可以利用该漏洞以网站用户的身份运行任意命令。

CISA 表示：“BeyondTrust 特权远程访问 (PRA) 和远程支持 (RS) 包含命令注入漏洞，这可能允许未经身份验证的攻击者注入以站点用户身份运行的命令。”

虽然该问题已被植入客户的云实例中，但建议使用自托管版本软件的用户更新到以下版本 -

特权远程访问（版本 24.3.1 及更早版本）- PRA 补丁 BT24-10-ONPREM1 或 BT24-10-ONPREM2
远程支持（版本 24.3.1 及更早版本）- RS 补丁 BT24-10-ONPREM1 或 BT24-10-ONPREM2
在 BeyondTrust 本月早些时候透露其遭受网络攻击之后，主动攻击的消息传出，此次攻击导致未知威胁行为者侵入其部分远程支持 SaaS 实例。

该公司已寻求第三方网络安全和取证公司的帮助，并表示对该事件的调查发现，攻击者获得了远程支持 SaaS API 密钥，从而可以重置本地应用程序帐户的密码。

此后，其调查又发现了另一个中等严重性漏洞（CVE-2024-12686，6.6），该漏洞允许具有现有管理权限的攻击者注入命令并以站点用户身份运行。新发现的漏洞已在以下版本中得到解决 -

特权远程访问 (PRA) - PRA 补丁 BT24-11-ONPREM1、BT24-11-ONPREM2、BT24-11-ONPREM3、BT24-11-ONPREM4、BT24-11-ONPREM5、BT24-11-ONPREM6 和 BT24-11-ONPREM7（取决于 PRA 版本）
远程支持 (RS) - RS 补丁 BT24-11-ONPREM1、BT24-11-ONPREM2、BT24-11-ONPREM3、BT24-11-ONPREM4、BT24-11-ONPREM5、BT24-11-ONPREM6 和 BT24-11-ONPREM7（取决于 RS 版本）

BeyondTrust 没有提及这两个漏洞是否已被利用。不过，该公司表示已通知所有受影响的客户。目前尚不清楚攻击的具体规模，以及幕后威胁者的身份。