CVE-2024-12356

BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-12-19

Официальное описание

BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) contain a command injection vulnerability, which can allow an unauthenticated attacker to inject commands that are run as a site user.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-12356 представляет собой критическую уязвимость типа Command Injection (инъекция команд) в решениях BeyondTrust Privileged Remote Access (PRA) и Remote Support (RS).

Проблема заключается в недостаточной фильтрации входных данных, поступающих от пользователя. Неавторизованный злоумышленник может отправить специально сформированный сетевой запрос, который позволит выполнить произвольный системный код в контексте пользователя сайта (site user). Поскольку для эксплуатации не требуется аутентификация, уязвимость несет высокий риск полной компрометации шлюза удаленного доступа и последующего продвижения злоумышленника внутри защищенного периметра организации.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление программного обеспечения до версий, в которых ошибка была исправлена разработчиком.

  1. Определите текущую версию вашего ПО через консоль администрирования (/login -> Status -> Dashboard).
  2. Загрузите соответствующий патч или обновленный образ через официальный портал поддержки BeyondTrust.
  3. Установите обновление для вашей ветки ПО. Исправления включены в следующие релизы:

Для BeyondTrust Remote Support: - 24.3.1 и выше - 24.1.3 и выше - 23.2.4 и выше

Для BeyondTrust Privileged Remote Access: - 24.3.1 и выше - 24.1.2 и выше - 23.3.1 и выше

Команда для проверки версии через CLI (если применимо к вашей аппаратной/виртуальной платформе):

show_version

Временные меры

Если немедленное обновление невозможно, необходимо принять меры по снижению поверхности атаки и усилению мониторинга:

  1. Ограничьте доступ к интерфейсу управления и порталам на сетевом уровне (Firewall/ACL), разрешив подключения только с доверенных IP-адресов администраторов.
  2. Настройте правила на Web Application Firewall (WAF) для блокировки подозрительных POST/GET запросов, содержащих спецсимволы инъекций (;, &, |, $(), `).
  3. Включите расширенное логирование и настройте алертинг в SIEM-системе на предмет запуска необычных процессов от имени пользователя сайта.
  4. Проверьте логи доступа на наличие аномальных запросов к эндпоинтам, которые не требуют авторизации.

Пример команды для поиска подозрительной активности в системных логах (для анализа после инцидента):

grep -E "(\||;|bash|sh|curl|wget)" /var/log/beyondtrust/access.log
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей