Date de la divulgation (source) : 16 décembre 2024
Date de déclaration d'exploitation active (source) : 19 décembre 2024
**Mise à jour** (6 janvier 2025) : Au 6 janvier 2025, nous avons observé 13,548 BeyondTrust Remote Support & Privileged Remote Access Instances exposées en ligne, soit environ 5k de plus que les 8,602 instances que nous avons signalées le 2 janvier 2025. Nous avons modifié nos méthodes de détection de ces dispositifs depuis la publication de l'avis initial, et les chiffres peuvent continuer à fluctuer au cours des prochains jours.
CVE-2024-12356 est une vulnérabilité critique affectant les produits PRA (Privileged Remote Access) et RS (Remote Support) de BeyondTrust avant RS & PRA 24.3.1 avec un score CVSS de 9.8.
Si elle est exploitée avec succès, elle permet à un acteur de menace non authentifié d'exécuter des commandes du système d'exploitation sous-jacent dans le contexte de l'utilisateur du site. Cette vulnérabilité est connue pour être exploitée et a été publiée dans la liste de la CISA des vulnérabilités exploitées connues le 19 décembre 2024.
Une récente violation signalée par BleepingComputer impliquait un accès non autorisé aux instances SaaS de BeyondTrust RS à l'aide d'une clé API compromise. Dans un autre incident rapporté par le Federal News Network, le département du Trésor a reconnu que des pirates chinois avaient accédé à plusieurs systèmes non classifiés. Les pirates ont utilisé une clé volée à BeyondTrust pour passer outre la sécurité du service, ce qui leur a permis d'accéder à plusieurs postes de travail d'employés.
BeyondTrust mène actuellement une enquête de sécurité liée à ces incidents, mais elle n'a pas explicitement confirmé l'exploitation de CVE-2024-12356 dans le cadre de l'une ou l'autre attaque.
| Champ d'application |
Détails |
| CVE-ID |
CVE-2024-12356 - CVSS 9.8 (critique) - attribué par BeyondTrust |
| Description de la vulnérabilité |
Une vulnérabilité critique a été découverte dans les produits Privileged Remote Access (PRA) et Remote Support (RS). Elle peut permettre à un attaquant non authentifié d'injecter des commandes exécutées en tant qu'utilisateur du site. |
| Date de la divulgation |
16 décembre 2024 |
| Actifs touchés |
Produits PRA et RS de BeyondTrust |
| Versions de logiciels vulnérables |
RS & PRA 24.3.1 et antérieures |
| PoC disponible ? |
Bien qu'il ne s'agisse pas d'un exploit public, cloudefence a publié un PoC sur GitHub avec un lien vers un exploit derrière un paywall. |
| Statut d'exploitation |
Cette vulnérabilité a été ajoutée à la liste de la CISA des vulnérabilités exploitées connues le 19 décembre 2024. |
| Statut du patch |
Ce problème est corrigé par un correctif disponible pour toutes les versions supportées de RS & PRA 22.1.x et plus. |
Censys Perspective
Au moment de la rédaction du présent document, Censys a observé 8,602 instances BeyondTrust RS & PRA exposées. Une grande partie d'entre elles (72%) sont géolocalisées aux États-Unis. Il est à noter que toutes les instances observées ne sont pas vulnérables car nous ne disposons pas de versions spécifiques.
Map de Exposed BeyondTrust RS & PRA Instances :
Censys Requête de recherche :
services.software: (vendor="BeyondTrust" and (product="Remote Support" or product="Privileged Remote Access")) and not labels: {tarpit, honeypot}
Censys Requête ASM :
host.services.software: (vendor="BeyondTrust" and (product="Remote Support" or product="Privileged Remote Access")) and not host.labels: {tarpit, honeypot}
Références
