CVE-2024-12686

BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-01-13

Официальное описание

BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) contain an OS command injection vulnerability that can be exploited by an attacker with existing administrative privileges to upload a malicious file. Successful exploitation of this vulnerability can allow a remote attacker to execute underlying operating system commands within the context of the site user.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-12686 представляет собой критическую уязвимость типа OS Command Injection (инъекция команд операционной системы). Проблема локализована в веб-интерфейсе управления продуктами BeyondTrust Privileged Remote Access (PRA) и Remote Support (RS).

Злоумышленник, обладающий правами администратора, может загрузить специально сформированный файл через определенные компоненты системы. Из-за недостаточной фильтрации входных данных при обработке этого файла, система выполняет внедренные команды ОС с привилегиями пользователя site. Это позволяет атакующему выйти за пределы ограничений прикладного ПО и получить доступ к нижележащей операционной системе (Appliance OS).

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление программного обеспечения (Base Software) до версий, в которых была исправлена логика обработки загружаемых файлов.

  1. Перейдите в интерфейс администрирования /login.
  2. Перейдите в раздел Status -> Check for Updates.
  3. Установите соответствующие версии обновлений:

Для BeyondTrust Remote Support: - Версия 24.3.1 - Версия 24.1.3

Для BeyondTrust Privileged Remote Access: - Версия 24.3.1 - Версия 24.1.3

Если вы используете физический или виртуальный Appliance, убедитесь, что обновлено именно Base Software.

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью следующих шагов:

  1. Ограничение административного доступа: Используйте сетевые экраны (Firewalls) или списки контроля доступа (ACL) на самом Appliance, чтобы разрешить доступ к интерфейсу /login только с доверенных IP-адресов (Management Network).

  2. Принцип наименьших привилегий: Проведите аудит учетных записей с правами администратора. Удалите неиспользуемые аккаунты и временно отзовите административные права у пользователей, которым они не требуются для операционной деятельности.

  3. Мониторинг логов: Настройте экспорт системных логов на внешний SIEM-сервер и отслеживайте подозрительную активность, связанную с загрузкой файлов в административной панели.

  4. Проверка целостности: Используйте встроенные инструменты проверки целостности системы для обнаружения несанкционированных изменений в файловой системе Appliance.

check_integrity
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей