La larga cola de BeyondTrust [CVE-2024-12356]
Compartir
Cuando BeyondTrust reveló una vulnerabilidad crítica de inyección remota de comandos que afectaba a todas las versiones de sus productos Privileged Remote Access (PRA) y Remote Support (RS) a mediados de diciembre, el nivel de preocupación en la comunidad de seguridad fue bastante alto. Los fallos críticos en productos de seguridad altamente privilegiados son objetivos jugosos para los atacantes, y lo que queda por ver es la larga cola que se espera de este fallo.
Los detalles de la vulnerabilidad (CVE-2024-12356) no son bonitos. "Todas las versiones de BeyondTrust Privileged Remote Access (PRA) y Remote Support (RS) contienen una vulnerabilidad de inyección de comandos que puede ser explotada a través de una petición maliciosa del cliente. La explotación exitosa de esta vulnerabilidad puede permitir a un atacante remoto no autenticado ejecutar comandos subyacentes del sistema operativo dentro del contexto del usuario del sitio", señala el de la empresa de la empresa. La vulnerabilidad se solucionó con un parche para RS y PRA 22.1.x y superiores.
Desgraciadamente, actores estatales altamente capacitados ya han atacado BeyondTrust con fines de explotación. La intrusión en el Departamento del Tesoro en diciembre que implicó el uso de una clave de API de BeyondTrust robada se ha atribuido a un actor de amenazas respaldado por el estado chino que fue capaz de obtener la clave y luego dirigirse a un pequeño número de clientes de SaaS RS. El ataque al Tesoro también ha llamado la atención de un par de legisladores, que han enviado una carta al Secretario del Tesoro pidiendo más información sobre la intrusión y la concienciación del departamento sobre los riesgos de los fallos en el software de terceros. (BeyondTrust desveló una segunda vulnerabilidad relacionada). vulnerabilidad CVE-2024-12686 que fue descubierta como parte de su investigación interna, y ese fallo también ha sido explotado).
BeyondTrust ha enviado una corrección para la vulnerabilidad crítica a todas las instancias SaaS afectadas y también ha publicado parches para las versiones autoalojadas, pero depende de los clientes instalar esta corrección. Para CVE-2024-12356, los datos de Censys muestran 778 hosts BeyondTrust PRA y RS expuestos en las instalaciones en el momento de escribir este artículo, y muchas de esas instancias están asociadas con colegios y universidades, sistemas de salud y empresas de servicios financieros, basándose en la atribución inferida a partir de búsquedas WHOIS y nombres de sistemas autónomos.
Ventana de exposición
Mientras tanto, los atacantes han tenido más de un mes para digerir los detalles de la vulnerabilidad, encontrar objetivos vulnerables y ponerse manos a la obra. Todavía no hay un exploit público disponible, pero esa ventana de exposición ha proporcionado tiempo suficiente para que los atacantes con recursos desarrollen el suyo propio.
Los dos productos afectados, como sus nombres sugieren, proporcionan acceso remoto privilegiado y soporte a varios sistemas empresariales. Ambos están ampliamente desplegados en entornos en la nube y locales, y los datos de Censys muestran 23.743 hosts PRA y RS expuestos a 31 de enero. (Nota: los hosts expuestos no son necesariamente vulnerables). La gran mayoría de ellos están geolocalizados en Estados Unidos, pero hay muchos más repartidos por todo el mundo. De los hosts expuestos, 399 están correlacionados con agencias gubernamentales, muchos de ellos gobiernos estatales y locales, pero algunos en el gobierno federal, y unos pocos en agencias gubernamentales extranjeras, según los datos de WHOIS y AS.
Vulnerabilidades como ésta en productos sensibles suelen ser relevantes durante meses o años, ya sea porque las organizaciones son reacias a desconectar esos productos para aplicar una corrección o porque desconocen que el producto afectado está desplegado en su entorno. Hasta ahora, la explotación ha sido limitada, pero si apareciera un exploit público, las cosas podrían cambiar rápidamente, especialmente dada la naturaleza de la vulnerabilidad y el valor de los objetivos.
