BeyondTrust の脆弱性 CVE-2024-12356 の悪用：8,602 件のインスタンスが公開されている

Thousands of Buggy BeyondTrust Systems Remain Exposed

2025/01/04 DarkReading — 中国政府が支援する脅威アクターが、パッチ未適用のシステムの深刻な脆弱性を、積極的に悪用しているという警告が発せられている。その一方では、BeyondTrust の大量のインスタンスが、インターネットに接続された状態を引きずっている。BeyondTrust の脆弱性 CVE-2024-12356 (CVSS：9.8) は、Privileged Remote Access (PRA) と Remote Support (RS) に影響を及ぼすものであり、2024年12月16日の時点で、BeyondTrust から報告されたものだ。

その３日後である 12月19日には、この脆弱性 CVE-2024-12356 は CISA の KEV リストに追加されている。そして 12月末までの間に、中国政府に支援されるハッカー・グループは、この脆弱性を悪用して米国財務省に侵入し、データを盗み出したとされる。

Censys の最新分析によると、この脆弱性へのパッチが未適用のシステムに対して、広範囲な APT キャンペーンが展開され、その証拠も広く公表されているという。

しかし、BeyondTrust PRA／RS の 8,602 件のインスタンスが、依然としてインターネットに接続されており、そのうちの 72% が米国に存在することが判明している。ただし、この調査における重要な注意点を、Censys は付け加えている。つまり、インターネットに露出しているインスタンスに対する、パッチ適用の有無を確認する方法が無いという点である。

これらのオープン・インスタンスのうち、パッチが未適用の件数は不明である。BeyondTrust は、すべてのセルフホスト・インスタンスが強制的に更新されたと述べているが、これらのオープン・インスタンスに対して、実際にパッチが適用されているかという質問に対して、同社は明確に回答していない。その一方で専門家たちは、これらのシステムの多くは、インターネットに公開されるセルフホストの BeyondTrust デプロイメントであり、潜在的に脆弱であると述べている。

ない、Censys は、説明の要請には応じていない。

セルフホスト型 BeyondTrust デプロイメントでの対応が遅れそう

Bugcrowd の CISO である Trey Ford は、「Censys のデータと、専門家たちの指摘が正しいならば、ソフトウェア・サービスとライセンス・モデルの運用における昔からのトレードオフを反映している話だ。ホスト型サービスの利点として、検出と対応の取り組みと、集中型パッチの適用と強化をサポートする、規模の経済という視点がある」と述べている。

彼は、「ユーザー組織はセルフホスト型 SaaS モデルにより、ライセンスのコストを節約できるが、その代わりに脅威インテリジェンスと修復のチャンスを逃している。ユーザーが所有するものには、パッチ適用や監視機能があるが、実質的には自社の孤立した運用となる。その一方で、サービス・プロバイダーは、パッチ適用と監視の大規模に提供と引き換えに若干のプレミアムを請求するが、その運用効率の向上により、すべてのユーザーが保護される」と付け加えている。

BeyondTrust クラウドの顧客に対しては、今回の脆弱性が報告された直後の 2024年12月16日時点で、パッチは自動的に適用されている。

Trey Ford は、「集中型サービスを利用している顧客には、インシデント対応サイクル中に、優先的かつ即時的にパッチが展開される。Censys レポートにおいて、オンラインで確認されたパッチ展開が遅れているシステムとは、パッチの発見／試験／展開が遅れているシステムということだ」と指摘している。

サイバー・セキュリティの専門家であり、Bambenek Consulting の President である John Bambenek は、「何らかの理由でパッチを適用できないセルフホスト型のデプロイメントであっても、BeyondTrust のリモート・ツールの保護は可能だ。このような状況において、パッチを適用できない場合でも、一連のシステムへの接続を、信頼できる IP アドレスのみに制限できる。つまり、不要な IP アドレスは、簡単にロックダウンできるのだ」と指摘している。

BeyondTrust の 8,602 件のインスタンスが、インターネット上に公開されているとのことです。ただし、脆弱性 CVE-2024-12356 の FIX に関しては、それを確認するす術がないと、Censys は述べています。ご利用のチームは、ご確認ください。なお、今回の記事で初めて、米国の財務相に対する侵害と、CVE-2024-12356 の悪用が 結びつけられています。よろしければ、以下のリストを、ご参照ください。

2024/12/31：米国の財務省で発生したデータ侵害：BeyondTrust 経由で侵入？
2024/12/20：CISA KEV 警告：BeyondTrust の脆弱性CVE-2024-12356 を登録
2024/12/18：BeyondTrust PRA／RS の RCE 脆弱性 CVE-2024-12356 が FIX