ClickySkip to main content
Nu hulp nodig bij een cyberincident?
Bel 24/7: 088-2747800

BeyondTrust PRA/RS kwetsbaarheid

Door 1 augustus 2023 augustus 2nd, 2023 CERT, SOC, Kwetsbaarheid

Deze liveblog bevat informatie over een kwetsbaarheid in BeyondTrust PRA/RS. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 1 augustus 2023.

Update 1 augustus 2023

17:00 | Op 1 augustus heeft BeyondTrust een knowledge base artikel gepubliceerd waarin een kritieke kwetsbaarheid wordt beschreven in hun producten Privileged Remote Access (PRA) en Remote Support (RS). Aan de kwetsbaarheid is nog geen CVE-nummer toegewezen. Succesvolle uitbuiting van de kwetsbaarheid stelt een niet-geautoriseerde remote aanvaller de mogelijkheid om commando’s uit te voeren op het onderliggende operating system als de site user.

Uitbuiting van de kwetsbaarheid is nog niet waargenomen in het wild. Er is ook nog geen publieke proof-of-concept code beschikbaar. BeyondTrust heeft een patch (TRY-21041) beschikbaar gesteld. Een software update wordt op korte termijn verwacht. Het wordt ten zeerste aanbevolen om de patch zo snel mogelijk toe te passen.

Aanleiding en achtergrond van deze blog

Deze blog bevat informatie over kwetsbaarheden, het mogelijke risico en advies om schade te voorkomen of beperken. Onderstaand staan de mogelijke risico’s, details en achtergrondinformatie.

Kwetsbaarheid informatie

Op 1 augustus heeft BeyondTrust een knowledge base artikel gepubliceerd waarin een kritieke kwetsbaarheid wordt beschreven in hun producten Privileged Remote Access (PRA) en Remote Support (RS). Aan de kwetsbaarheid is nog geen CVE-nummer toegewezen. Succesvolle uitbuiting van de kwetsbaarheid stelt een niet-geautoriseerde remote aanvaller de mogelijkheid om commando’s uit te voeren op het onderliggende operating system als de site user.

Uitbuiting van de kwetsbaarheid is nog niet waargenomen in het wild. Er is ook nog geen publieke proof-of-concept code beschikbaar. BeyondTrust heeft een patch (TRY-21041) beschikbaar gesteld. Een software update wordt op korte termijn verwacht. Het wordt ten zeerste aanbevolen om de patch zo snel mogelijk toe te passen.

Mogelijke risico’s

De kwetsbaarheid heeft een CVSS-score van 10. De CVSS-schaal loopt van 0 tot 10. Een score van 10 is zeldzaam en impliceert een lage complexiteit en een hoog risico op uitbuiting met een grote impact. De kwetsbaarheid in BeyondTrust PRA and RS is gecategoriseerd als “Unauthenticated Command Injection” en stelt een niet geautoriseerde remote aanvaller in staat om commando’s uit te voeren op het onderliggende operating system als de site user. De kwetsbaarheid kan worden uitgebuit via een kwaadaardig HTTP request.

Uitbuiting van de kwetsbaarheid is nog niet waargenomen in het wild. Er is ook nog geen publieke proof-of-concpet code beschikbaar. De hoge CVSS-score is een indicatie van een lage uitbuitingscomplexiteit. De getroffen oplossingen zijn doorgaans publiek op het internet ontsloten en hebben doorgaans toegang tot interne systemen. Dit maakt de kwetsbaarheid zeer kritiek en dient zo snel mogelijk te worden verholpen.

Detail informatie

Slechts twee specifieke versies van BeyondTrust Privileged Remote Access (PRA) en Remote Support (RS) zijn kwetsbaar:

  • 23.2.1
  • 23.2.2

Voor cloud customers: Houd er rekening mee dat deze sites de patch al hebben ontvangen en dat ze zijn toegepast zonder downtime of onderbreking van services.

Momenteel is er een patch beschikbaar, gelabeld als TRY-21041, voor de getroffen versies. Het probleem wordt binnenkort opgelost in versie 23.2.3. Op het moment van het schrijven van dit artikel is deze versie nog niet beschikbaar. Het advies is om patch TRY-21041 zo snel mogelijk toe te passen. Zodra versie 23.2.3 is gepubliceerd, is het raadzaam om ook deze zo snel mogelijk te installeren.

Ga voor meer informatie over de patch naar het originele artikel van BeyondTrust (klantenlogin vereist):

Als er verdachte of kwaadaardige activiteiten worden waargenomen in verband met dit artikel, neem dan contact op met T-CERT. Het Tesorion Computer Emergency Response Team biedt 24/7 specialistische ondersteuning. In noodgevallen voeren we onmiddellijk een eerste telefonische beoordeling uit en doen we er alles aan om de situatie zo snel mogelijk onder controle te krijgen.

Aanmelden

Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates

Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.

Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.

Close Menu