12月16日安全企业BeyondTrust发布安全公告,指出旗下的远程支持(Remote Support,RS)系统、特权远程访问(Privileged Remote Access,PRA)系统存在重大层级的命令注入漏洞CVE-2024-12356,攻击者可发送恶意用户端访问请求,而能在未经授权的情况下,远程执行操作系统底层的任意命令,24.3.1版之前的所有版本都受到影响,CVSS风险评为9.8(满分10分),如今该公司表示有人将其用于攻击SaaS环境用户。
同日该公司表示,根据初步调查的结果,在他们首度于8日公布的远程支持SaaS服务安全事故里,主动替采用云计算版本的RS及PRA用户套用更新,这项漏洞就是CVE-2024-12356。BeyondTrust强调,他们的修补程序都是通过产品标准更新流程推送,即使是客户内部环境构建的版本,也能在无需停机的状态之下套用。
时隔两天,BeyondTrust指出他们又找到攻击者利用的另一个命令注入漏洞CVE-2024-12686,具有管理权限的攻击者能用来注入命令,并上传恶意文件,CVSS风险评为6.6。该公司表示,他们于16日发布的更新已涵盖这项漏洞的修补程序。
针对处理这起事故的过程,BeyondTrust最初于12月2日发现到疑似异常的行为,发生其中一个使用SaaS版本RS客户的实体,该公司安全团队随即展开调查,并于5日确认遭到攻击,当时已有一定数量的SaaS版本RS客户受害。
该公司进一步指出,当时他们将这些受害的SaaS实体进行隔离,并通知客户,而且他们确认有1个SaaS的API密钥外流,该公司已进行注销。
值得留意的是,这起攻击行动里,攻击者很有可能将上述两项漏洞在尚未修补之前就用于攻击行动,但BeyondTrust并未在这些漏洞的公告提及已遭到利用的情况。不过,该公司向安全新闻网站Bleeping Computer透露,经过他们的确认,尚未有客户遭到勒索软件攻击。
