Fecha de divulgación (fuente): 16 de diciembre de 2024
Fecha en que se comunicó que se había explotado activamente (fuente): 19 de diciembre de 2024
**Actualización** (6 de enero de 2025): A partir del 6 de enero de 2025, observamos 13,548 Instancias expuestas de Soporte Remoto y Acceso Remoto Privilegiado de BeyondTrust en línea, aproximadamente 5k más que las 8,602 instancias que reportamos el 2 de enero de 2025. Hemos modificado nuestros métodos de detección para estos dispositivos desde que se publicó el aviso original, y las cifras pueden seguir fluctuando en los próximos días.
CVE-2024-12356 es una vulnerabilidad crítica que afecta a los productos BeyondTrust Privileged Remote Access (PRA) y Remote Support (RS) anteriores a RS & PRA 24.3.1 con una puntuación CVSS de 9.8.
Si se explota con éxito, permite a un actor de amenaza no autenticado ejecutar comandos subyacentes del sistema operativo dentro del contexto del usuario del sitio. Se sabe que esta vulnerabilidad es explotada y fue publicada en la lista de vulnerabilidades explotadas conocidas de CISA el 19 de diciembre de 2024.
Una reciente brecha reportada por BleepingComputer involucró acceso no autorizado a instancias SaaS de BeyondTrust RS usando una clave API comprometida. En otro incidente reportado por Federal News Network, el Departamento del Tesoro reconoció que hackers chinos accedieron a varios sistemas no clasificados. Los piratas informáticos utilizaron una clave robada de BeyondTrust para anular la seguridad del servicio, lo que les permitió acceder a varias estaciones de trabajo de empleados.
BeyondTrust está llevando a cabo una investigación de seguridad relacionada con estos incidentes, pero no han confirmado explícitamente la explotación de CVE-2024-12356 en relación con ninguno de los dos ataques.
| Campo |
Detalles |
| CVE-ID |
CVE-2024-12356 - CVSS 9.8 (crítico) - asignado por BeyondTrust |
| Descripción de la vulnerabilidad |
Se ha descubierto una vulnerabilidad crítica en los productos Privileged Remote Access (PRA) y Remote Support (RS) que puede permitir a un atacante no autenticado inyectar comandos que se ejecutan como un usuario del sitio. |
| Fecha de divulgación |
16 de diciembre de 2024 |
| Activos afectados |
Productos BeyondTrust PRA y RS |
| Versiones de software vulnerables |
RS & PRA 24.3.1 y anteriores |
| ¿PoC disponible? |
Aunque no es un exploit público, cloudefence publicó un PoC en GitHub con un enlace a un exploit detrás de un paywall. |
| Estado de explotación |
Esta vulnerabilidad se añadió a la lista de vulnerabilidades explotadas conocidas de CISA el 19 de diciembre de 2024. |
| Estado del parche |
Este problema se ha solucionado mediante un parche disponible para todas las versiones compatibles de RS & PRA 22.1.x y superiores. |
Censys Perspectiva
En el momento de redactar este informe, Censys observaba 8,602 instancias expuestas de BeyondTrust RS & PRA. Una gran proporción de ellas (72%) están geolocalizadas en Estados Unidos. Tenga en cuenta que no todas las instancias observadas son vulnerables, ya que no disponemos de versiones específicas.
Map de expuestos BeyondTrust RS & PRA Instancias:
Censys Consulta de búsqueda:
services.software: (vendor="BeyondTrust" and (product="Remote Support" or product="Privileged Remote Access")) and not labels: {tarpit, honeypot}
Censys Consulta ASM:
host.services.software: (vendor="BeyondTrust" and (product="Remote Support" or product="Privileged Remote Access")) and not host.labels: {tarpit, honeypot}
Referencias
