ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Perşembe günü BeyondTrust Ayrıcalıklı Uzaktan Erişim (PRA) ve Uzaktan Destek (RS) ürünlerini etkileyen kritik bir güvenlik kusurunu Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğuna ekledi ve vahşi ortamda aktif istismarın kanıtlarını öne sürdü .
CVE-2024-12356 (CVSS puanı: 9,8) olarak takip edilen güvenlik açığı, kötü niyetli bir aktörün site kullanıcısı olarak rastgele komutlar çalıştırmak için kullanabileceği bir komut ekleme kusurudur.
CISA, “BeyondTrust Ayrıcalıklı Uzaktan Erişim (PRA) ve Uzaktan Destek (RS), kimliği doğrulanmamış bir saldırganın site kullanıcısı olarak çalıştırılan komutları enjekte etmesine izin verebilecek bir komut ekleme güvenlik açığı içeriyor” dedi.
Sorun müşterilerin bulut örneklerine zaten bağlı olsa da, yazılımın kendi kendine barındırılan sürümlerini kullananların aşağıdaki sürümlere güncellemeleri önerilir:
- Ayrıcalıklı Uzaktan Erişim (sürüm 24.3.1 ve önceki sürümler) – PRA yaması BT24-10-ONPREM1 veya BT24-10-ONPREM2
- Uzaktan Destek (sürüm 24.3.1 ve öncesi) – RS yaması BT24-10-ONPREM1 veya BT24-10-ONPREM2
Aktif istismar haberleri, BeyondTrust’un bu ayın başlarında bilinmeyen tehdit aktörlerinin Uzaktan Destek SaaS örneklerinden bazılarını ihlal etmesine izin veren bir siber saldırının kurbanı olduğunu açıklamasının ardından geldi.
Üçüncü taraf bir siber güvenlik ve adli tıp firmasından yardım alan şirket, olayla ilgili soruşturmada saldırganların, yerel uygulama hesaplarının şifrelerini sıfırlamalarına olanak tanıyan Uzaktan Destek SaaS API anahtarına erişim elde ettiğini tespit ettiğini söyledi.
Araştırma, o zamandan bu yana, mevcut yönetici ayrıcalıklarına sahip bir saldırganın komutları enjekte etmesine ve site kullanıcısı olarak çalışmasına olanak tanıyan orta önem derecesine sahip başka bir güvenlik açığını (CVE-2024-12686, 6.6) ortaya çıkardı. Yeni keşfedilen kusur aşağıdaki sürümlerde giderilmiştir:
- Ayrıcalıklı Uzaktan Erişim (PRA) – PRA yaması BT24-11-ONPREM1, BT24-11-ONPREM2, BT24-11-ONPREM3, BT24-11-ONPREM4, BT24-11-ONPREM5, BT24-11-ONPREM6 ve BT24-11- ONPREM7 (PRA sürümüne bağlı)
- Uzaktan Destek (RS) – RS yaması BT24-11-ONPREM1, BT24-11-ONPREM2, BT24-11-ONPREM3, BT24-11-ONPREM4, BT24-11-ONPREM5, BT24-11-ONPREM6 ve BT24-11-ONPREM7 (RS sürümüne bağlıdır)
BeyondTrust, vahşi ortamda istismar edilen güvenlik açıklarından hiçbirinden bahsetmiyor. Ancak etkilenen tüm müşterilerin bilgilendirildiği belirtildi. Saldırıların kesin boyutu ve arkalarındaki tehdit aktörlerinin kimlikleri henüz bilinmiyor.
Hacker News, yorum almak için şirkete ulaştı ve geri dönüş alırsak haberi güncelleyecek.