BeyondTrust PRA/RS kwetsbaarheid

Op 1 augustus heeft BeyondTrust een knowledge base artikel gepubliceerd waarin een kritieke kwetsbaarheid wordt beschreven in hun producten Privileged Remote Access (PRA) en Remote Support (RS). Aan de kwetsbaarheid is nog geen CVE-nummer toegewezen. Succesvolle uitbuiting van de kwetsbaarheid stelt een niet-geautoriseerde remote aanvaller de mogelijkheid om commando’s uit te voeren op het onderliggende operating system als de site user.

Uitbuiting van de kwetsbaarheid is nog niet waargenomen in het wild. Er is ook nog geen publieke proof-of-concept code beschikbaar. BeyondTrust heeft een patch (TRY-21041) beschikbaar gesteld. Een software update wordt op korte termijn verwacht. Het wordt ten zeerste aanbevolen om de patch zo snel mogelijk toe te passen.

De kwetsbaarheid heeft een CVSS-score van 10. De CVSS-schaal loopt van 0 tot 10. Een score van 10 is zeldzaam en impliceert een lage complexiteit en een hoog risico op uitbuiting met een grote impact. De kwetsbaarheid in BeyondTrust PRA and RS is gecategoriseerd als “Unauthenticated Command Injection” en stelt een niet geautoriseerde remote aanvaller in staat om commando’s uit te voeren op het onderliggende operating system als de site user. De kwetsbaarheid kan worden uitgebuit via een kwaadaardig HTTP request.

Uitbuiting van de kwetsbaarheid is nog niet waargenomen in het wild. Er is ook nog geen publieke proof-of-concpet code beschikbaar. De hoge CVSS-score is een indicatie van een lage uitbuitingscomplexiteit. De getroffen oplossingen zijn doorgaans publiek op het internet ontsloten en hebben doorgaans toegang tot interne systemen. Dit maakt de kwetsbaarheid zeer kritiek en dient zo snel mogelijk te worden verholpen.

Slechts twee specifieke versies van BeyondTrust Privileged Remote Access (PRA) en Remote Support (RS) zijn kwetsbaar:

• 23.2.1
• 23.2.2

Voor cloud customers: Houd er rekening mee dat deze sites de patch al hebben ontvangen en dat ze zijn toegepast zonder downtime of onderbreking van services.

Momenteel is er een patch beschikbaar, gelabeld als TRY-21041, voor de getroffen versies. Het probleem wordt binnenkort opgelost in versie 23.2.3. Op het moment van het schrijven van dit artikel is deze versie nog niet beschikbaar. Het advies is om patch TRY-21041 zo snel mogelijk toe te passen. Zodra versie 23.2.3 is gepubliceerd, is het raadzaam om ook deze zo snel mogelijk te installeren.

Ga voor meer informatie over de patch naar het originele artikel van BeyondTrust (klantenlogin vereist):

• https://beyondtrustcorp.service-now.com/csm?id=kb_article_view&sysparm_article=KB0020207

Als er verdachte of kwaadaardige activiteiten worden waargenomen in verband met dit artikel, neem dan contact op met T-CERT. Het Tesorion Computer Emergency Response Team biedt 24/7 specialistische ondersteuning. In noodgevallen voeren we onmiddellijk een eerste telefonische beoordeling uit en doen we er alles aan om de situatie zo snel mogelijk onder controle te krijgen.

Meer informatie:

• BeyondTrust KB artikel (klant login vereist)