Alerta: correção urgente em soluções BeyondTrust

A agência de segurança cibernética dos EUA, CISA, emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica nos produtos de acesso remoto da BeyondTrust. A falha, rastreada como CVE-2024-12356, possui uma pontuação CVSS de 9,8 e é classificada como uma vulnerabilidade de injeção de comando. Ela afeta os produtos BeyondTrust Privileged Remote Access (PRA) e Remote Support (RS), permitindo que invasores explorem o sistema sem a necessidade de autenticação.

Leia também
Espanha derruba rede que fraudou 10 mil pessoas
Preso em Israel desenvolvedor do ransomware LockBit

A BeyondTrust já lançou patches para resolver o problema, aplicáveis a todas as versões PRA e RS até a versão 24.3.1. Os clientes com instâncias na nuvem foram protegidos na semana passada, mas aqueles com instalações locais são instados a atualizar imediatamente. A vulnerabilidade foi descoberta durante uma investigação forense relacionada ao comprometimento de instâncias SaaS de clientes. Embora a empresa não tenha confirmado diretamente que a falha foi explorada nesses ataques, a CISA adicionou a CVE-2024-12356 à sua lista de Vulnerabilidades Exploradas Conhecidas (KEV), destacando que ataques in loco foram observados. Agências federais têm até 27 de dezembro para aplicar os patches, um prazo menor que o usual devido à gravidade do problema.

Durante a mesma investigação, a BeyondTrust identificou uma segunda vulnerabilidade, CVE-2024-12686, com uma pontuação CVSS de 6,6. Esta falha permite que invasores remotos com privilégios administrativos carreguem arquivos maliciosos, podendo executar comandos no sistema operacional no contexto do usuário do site. Correções para este problema foram aplicadas em 16 de dezembro para instâncias na nuvem, mas os clientes com versões autogerenciadas precisam realizar a atualização manualmente.