Als BeyondTrust eine kritische kritische Remote-Befehlsinjektionsschwachstelle bekannt gab, die alle Versionen seiner Produkte Privileged Remote Access (PRA) und Remote Support (RS) betraf, war die Besorgnis in der Sicherheitsgemeinschaft groß. Kritische Schwachstellen in hochprivilegierten Sicherheitsprodukten sind ein lohnendes Ziel für Angreifer, und es bleibt abzuwarten, wie lange dieser Fehler noch nachwirkt.
Die Details der Sicherheitslücke (CVE-2024-12356) sind nicht schön. "Alle Versionen von BeyondTrust Privileged Remote Access (PRA) und Remote Support (RS) enthalten eine Schwachstelle in Form einer Befehlsinjektion, die durch eine bösartige Client-Anfrage ausgenutzt werden kann. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann ein nicht authentifizierter Angreifer zugrundeliegende Betriebssystembefehle im Kontext des Site-Benutzers ausführen", heißt es in der Mitteilung des Unternehmens Hinweis sagt. Die Sicherheitslücke wurde mit einem Patch für RS und PRA 22.1.x und höher behoben.
Leider haben sehr fähige staatliche Akteure BeyondTrust bereits ins Visier genommen, um es auszunutzen. Das Eindringen in das Finanzministerium im Dezember, bei dem ein gestohlener BeyondTrust-API-Schlüssel verwendet wurde, wird einem vom chinesischen Staat unterstützten Akteur zugeschrieben, der sich den Schlüssel beschaffen und dann eine kleine Anzahl von SaaS RS-Kunden angreifen konnte. Der Angriff des Finanzministeriums hat auch die Aufmerksamkeit von zwei Gesetzgebern auf sich gezogen, die ein Brief an den Finanzminister gesandt haben, in dem sie um weitere Informationen über das Eindringen und das Bewusstsein des Ministeriums für die Risiken von Fehlern in Software von Drittanbietern bitten. (BeyondTrust enthüllte eine zweite, verwandte Sicherheitslücke CVE-2024-12686, die im Rahmen einer internen Untersuchung entdeckt wurde, und diese Schwachstelle wurde ebenfalls ausgenutzt).
BeyondTrust hat für alle betroffenen SaaS-Instanzen einen Fix für die kritische Schwachstelle bereitgestellt und auch Patches für die selbst gehosteten Versionen veröffentlicht, aber es liegt an den Kunden, diesen Fix zu installieren. Für CVE-2024-12356 zeigen die Daten Censys zu diesem Zeitpunkt 778 exponierte BeyondTrust PRA- und RS-Hosts vor Ort, und viele dieser Instanzen sind mit Hochschulen und Universitäten, Gesundheitssystemen und Finanzdienstleistungsunternehmen verbunden, basierend auf der abgeleiteten Zuordnung von WHOIS-Abfragen und autonomen Systemnamen.
Zeitfenster der Exposition
In der Zwischenzeit hatten die Angreifer mehr als einen Monat Zeit, um die Details der Sicherheitslücke zu analysieren, verwundbare Ziele zu finden und sie auszunutzen. Es gibt zwar noch keinen öffentlich zugänglichen Exploit, aber dieses Zeitfenster hat gut ausgerüsteten Angreifern genügend Zeit gegeben, ihren eigenen zu entwickeln.
Die beiden betroffenen Produkte bieten, wie ihr Name schon sagt, privilegierten Fernzugriff auf und Unterstützung für verschiedene Unternehmenssysteme. Beide sind in Cloud- und On-Premises-Umgebungen weit verbreitet. Censys zeigen 23.743 gefährdete PRA- und RS-Hosts zum 31. Januar. (Hinweis: Gefährdete Hosts sind nicht notwendigerweise verwundbare Hosts.) Die überwiegende Mehrheit dieser Hosts befindet sich in den Vereinigten Staaten, aber es gibt noch viele weitere, die über den gesamten Globus verstreut sind. Von den gefährdeten Hosts stehen 399 in Verbindung mit Regierungsbehörden, viele von ihnen auf Bundes- und Landesebene, aber auch einige auf Bundesebene und einige wenige in ausländischen Regierungsbehörden, basierend auf WHOIS- und AS-Daten.
Schwachstellen wie diese in sensiblen Produkten sind oft über Monate oder Jahre hinweg relevant, entweder weil Unternehmen zögern, diese Produkte vom Netz zu nehmen, um eine Korrektur vorzunehmen, oder weil sie nicht wissen, dass das betroffene Produkt in ihrer Umgebung eingesetzt wird. Die Ausnutzung der Schwachstelle hält sich bisher in Grenzen, doch sollte ein öffentliches Exploit auftauchen, könnten sich die Dinge schnell ändern, insbesondere angesichts der Art der Schwachstelle und des Wertes der Ziele.
