CISA Adds Critical Flaw in BeyondTrust Software to Exploited Vulnerabilities List
2024/12/20 TheHackerNews — 12月19日 (木) に米国の Cybersecurity and Infrastructure Security Agency (CISA) は、BeyondTrust の Privileged Remote Access (PRA)/Remote Support (RS) に影響を及ぼす深刻な脆弱性を KEV カタログに追加し、実際に悪用されている証拠として挙げている。
このコマンド・インジェクションの脆弱性 CVE-2024-12356 (CVSS:9.8) の悪用に成功した攻撃者は、サイト・ユーザーとしての任意のコマンド実行を可能にするとされる。CISA は、「BeyondTrust の PRA/RS に存在する、コマンド・インジェクションの脆弱性に存在した未認証の撃者は、コマンドを挿入し、サイト・ユーザーとして実行する可能性を手にする」と述べている。
この問題は、すでにクラウド・インスタンスでは対応されているが、セルフホスト・バージョンを使用しているユーザーには、以下のバージョンへの更新が推奨されている:
- Privileged Remote Access (バージョン 24.3.1 以下):PRA patch BT24-10-ONPREM1/BT24-10-ONPREM2
- Remote Support (バージョン 24.3.1 以下):RS patch BT24-10-ONPREM1/BT24-10-ONPREM2
今月の初めに BeyondTrust 明かしたのは、同社を攻撃する未知の脅威アクターが。リモート・サポート SaaS インスタンスの一部に侵入したことである。その後に、この脆弱性が悪用されているというニュースが発表された。
BeyondTrust は、サードパーティであるサイバーセキュリティ/フォレンジック企業の協力を得て、このインシデントを調査した。その結果として、攻撃者がリモート・サポート SaaS API キーにアクセスし、ローカル・アプリ・アカウントのパスワードをリセットしたことが判明したと述べている。
その後の調査で、別の脆弱性 CVE-2024-12686 (CVSS:6.6:Medium) が発見された。この脆弱性の悪用に成功した管理者権限を持つ攻撃者は、コマンドの挿入を達成し、サイト・ユーザーとして実行する可能性を得るという。この、新たに発見された欠陥は、以下のバージョンで修正されている:
Privileged Remote Access (PRA):PRA patch BT24-11-ONPREM1/BT24-11-ONPREM2/BT24-11-ONPREM3/BT24-11-ONPREM4/BT24-11-ONPREM5/BT24-11-ONPREM6/BT24-11-ONPREM7
Remote Support (RS):RS patch BT24-11-ONPREM1/BT24-11-ONPREM2/BT24-11-ONPREM3/BT24-11-ONPREM4/BT24-11-ONPREM5/BT24-11-ONPREM6/BT24-11-ONPREM7
これらの脆弱性の、現実面での悪用について、BeyondTrust は何も言及していない。したがって、攻撃の正確な規模や、その背後にいる脅威アクターの身元などは、現時点で不明である。その一方では、影響を受ける全顧客に対して、通知を行っていると述べている。
Hacker News は、同社に対してコメントを求めており、返答があれば記事を更新する予定である。
BeyondTrust の脆弱性 CVE-2024-12356 が、CISA KEV に登録されました。この脆弱性に関する第一報は、2024/12/18 の「BeyondTrust PRA/RS の RCE 脆弱性 CVE-2024-12356 (CVSS 9.8) が FIX:ただちにパッチを!」です。この脆弱性の公表から、きわめて短時間のうちに、KEV に取り上げられたことになります。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.