Datum der Offenlegung (Quelle): Dezember 16, 2024
Datum der Meldung als aktiv ausgenutzt (Quelle): Dezember 19, 2024
**Aktualisierung** (6. Januar 2025): Ab dem 6. Januar 2025 beobachteten wir 13,548 BeyondTrust Remote Support & Privileged Remote Access Instanzen online, etwa 5k mehr als die 8,602 Instanzen, die wir am 2. Januar 2025 gemeldet haben. Wir haben unsere Erkennungsmethoden für diese Geräte seit der Veröffentlichung des ursprünglichen Hinweises geändert, so dass die Zahlen in den nächsten Tagen noch schwanken können.
CVE-2024-12356 ist eine kritische Sicherheitslücke, die BeyondTrust Privileged Remote Access (PRA) und Remote Support (RS) Produkte vor RS & PRA 24.3.1 mit einem CVSS Score von 9.8 betrifft.
Wenn sie erfolgreich ausgenutzt wird, kann ein nicht authentifizierter Bedrohungsakteur zugrundeliegende Betriebssystembefehle im Kontext des Website-Benutzers ausführen. Diese Sicherheitslücke wird bekanntermaßen ausgenutzt und wurde am 19. Dezember 2024 in der CISA-Liste der bekannten ausgenutzten Sicherheitslücken veröffentlicht.
Eine kürzliche Verstoß der von BleepingComputer gemeldet wurde, betraf den unbefugten Zugriff auf BeyondTrust RS SaaS-Instanzen unter Verwendung eines kompromittierten API-Schlüssels. In einem separaten Vorfall hat das Finanzministerium zugegeben, dass chinesische Hacker auf mehrere nicht klassifizierte Systeme zugegriffen haben. Die Hacker nutzten einen gestohlenen Schlüssel von BeyondTrust, um die Sicherheitsvorkehrungen des Dienstes zu umgehen, und hatten so Zugang zu mehreren Arbeitsplätzen von Mitarbeitern.
BeyondTrust führt derzeit eine Sicherheitsuntersuchung BeyondTrust führt derzeit eine Sicherheitsuntersuchung im Zusammenhang mit diesen Vorfällen durch, hat aber nicht explizit bestätigt, dass CVE-2024-12356 im Zusammenhang mit einem der beiden Angriffe ausgenutzt wurde.
| Feld |
Einzelheiten |
| CVE-ID |
CVE-2024-12356 - CVSS 9.8 (kritisch) - zugewiesen von BeyondTrust |
| Schwachstelle Beschreibung |
In den Produkten Privileged Remote Access (PRA) und Remote Support (RS) wurde eine kritische Sicherheitslücke entdeckt, die es einem nicht authentifizierten Angreifer ermöglichen kann, Befehle einzuschleusen, die als Benutzer einer Website ausgeführt werden. |
| Datum der Offenlegung |
16. Dezember 2024 |
| Betroffene Vermögenswerte |
BeyondTrust PRA- und RS-Produkte |
| Anfällige Software-Versionen |
RS & PRA 24.3.1 und früher |
| PoC verfügbar? |
Obwohl es sich nicht um einen öffentlichen Exploit handelt, hat cloudefence einen PoC auf GitHub mit einem Link zu einem Exploit hinter einer Paywall. |
| Verwertungsstatus |
Diese Sicherheitslücke wurde am 19. Dezember 2024 in die CISA-Liste der bekannten ausgenutzten Sicherheitslücken aufgenommen. |
| Patch-Status |
Dieses Problem wird durch einen Patch behoben, der für alle unterstützten Versionen von RS & PRA 22.1.x und höher verfügbar ist. |
Censys Blickwinkel
Zum Zeitpunkt der Erstellung dieses Berichts beobachtete Censys 8,602 exponierte BeyondTrust RS & PRA-Instanzen. Ein großer Teil davon (72%) sind in den Vereinigten Staaten angesiedelt. Beachten Sie, dass nicht alle beobachteten Instanzen verwundbar sind, da wir keine spezifischen Versionen zur Verfügung haben.
Map der ausgesetzten BeyondTrust RS & PRA Instanzen:
Censys Search Abfrage:
services.software: (vendor="BeyondTrust" and (product="Remote Support" or product="Privileged Remote Access")) and not labels: {tarpit, honeypot}
Censys ASM-Abfrage:
host.services.software: (vendor="BeyondTrust" and (product="Remote Support" or product="Privileged Remote Access")) and not host.labels: {tarpit, honeypot}
Referenzen
