La longue queue de BeyondTrust [CVE-2024-12356]

Lorsque BeyondTrust a révélé une vulnérabilité critique d'injection de commande à distance affectant toutes les versions de ses produits Privileged Remote Access (PRA) et Remote Support (RS) à la mi-décembre, le niveau d'inquiétude de la communauté de la sécurité était assez élevé. Les failles critiques dans les produits de sécurité à haut niveau de privilège sont des cibles juteuses pour les attaquants, et ce qui reste à voir, c'est la longue traîne attendue de ce bogue.

Les détails de la vulnérabilité (CVE-2024-12356) ne sont pas beaux à voir. "Toutes les versions de BeyondTrust Privileged Remote Access (PRA) et Remote Support (RS) contiennent une vulnérabilité d'injection de commande qui peut être exploitée par le biais d'une requête client malveillante. L'exploitation réussie de cette vulnérabilité peut permettre à un attaquant distant non authentifié d'exécuter des commandes du système d'exploitation sous-jacent dans le contexte de l'utilisateur du site". de l'entreprise de l'entreprise. La vulnérabilité a été corrigée par un correctif pour RS et PRA 22.1.x et les versions ultérieures.

Malheureusement, des acteurs étatiques très compétents ont déjà ciblé BeyondTrust pour l'exploiter. L'intrusion au Département du Trésor en décembre, qui impliquait l'utilisation d'une clé API BeyondTrust volée, a été attribuée à un acteur de menace soutenu par l'État chinois qui a été en mesure d'obtenir la clé et de cibler ensuite un petit nombre de clients SaaS RS. L'attaque du département du Trésor a également attiré l'attention de deux législateurs, qui ont envoyé une lettre au secrétaire au Trésor pour lui demander plus d'informations sur l'intrusion et sur la sensibilisation du ministère aux risques liés aux bogues dans les logiciels tiers. (BeyondTrust a révélé une deuxième vulnérabilité connexe CVE-2024-12686, découverte dans le cadre de son enquête interne, et qui a également été exploitée).

BeyondTrust a apporté un correctif pour la vulnérabilité critique à toutes les instances SaaS affectées et a publié des correctifs pour les versions auto-hébergées, mais c'est aux clients d'installer ce correctif. Pour CVE-2024-12356, les données de Censys montrent 778 hôtes BeyondTrust PRA et RS exposés sur site à ce jour, et beaucoup de ces instances sont associées à des collèges et universités, des systèmes de soins de santé et des sociétés de services financiers, sur la base de l'attribution déduite des recherches WHOIS et des noms de systèmes autonomes. 

Fenêtre d'exposition

Entre-temps, les attaquants ont eu plus d'un mois pour assimiler les détails de la vulnérabilité, trouver des cibles vulnérables et s'y attaquer. Il n'y a pas encore d'exploit public disponible, mais cette fenêtre d'exposition a donné beaucoup de temps aux attaquants disposant de ressources suffisantes pour développer leur propre exploit. 

Les deux produits concernés, comme leur nom l'indique, fournissent un accès privilégié et à distance à divers systèmes d'entreprise, ainsi qu'une assistance à ces systèmes. Ils sont tous deux largement déployés dans des environnements en nuage et sur site, et les données de Censys font état de 23 743 hôtes PRA et RS exposés au 31 janvier (remarque : les hôtes exposés ne sont pas nécessairement des hôtes vulnérables). (Remarque : les hôtes exposés ne sont pas nécessairement des hôtes vulnérables.) La grande majorité d'entre eux sont géolocalisés aux États-Unis, mais il y en a beaucoup d'autres disséminés dans le monde. Parmi les hôtes exposés, 399 sont liés à des agences gouvernementales, dont la plupart sont des gouvernements locaux et d'État, mais certains appartiennent au gouvernement fédéral, et quelques-uns à des agences gouvernementales étrangères, d'après les données WHOIS et AS. 

Les vulnérabilités telles que celle-ci dans les produits sensibles restent souvent pertinentes pendant des mois ou des années, soit parce que les organisations sont réticentes à mettre ces produits hors ligne pour appliquer un correctif, soit parce qu'elles ne savent pas que le produit affecté est déployé dans leur environnement. Jusqu'à présent, l'exploitation a été limitée, mais si un exploit public devait voir le jour, les choses pourraient changer rapidement, notamment en raison de la nature de la vulnérabilité et de la valeur des cibles.