La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha lanzado una advertencia urgente relacionada con una vulnerabilidad crítica que afecta a los productos BeyondTrust Privileged Remote Access (PRA) y Remote Support (RS). La falla, catalogada como CVE-2024-12356, permite la ejecución de comandos arbitrarios sin necesidad de autenticación, exponiendo a las organizaciones a un alto riesgo de compromisos en sus entornos.
La CVE-2024-12356 corresponde a una vulnerabilidad de inyección de comandos, lo que la hace particularmente peligrosa en escenarios de acceso remoto. Esta falla afecta a las versiones de BeyondTrust PRA y RS anteriores a la 24.3.1. Según el análisis, la explotación puede ser llevada a cabo de manera remota, lo que facilita ataques dirigidos por actores maliciosos sin interacción previa con los sistemas.
BeyondTrust identificó la vulnerabilidad durante una investigación forense de un incidente que afectó a un número limitado de instancias SaaS de Remote Support. Aunque la empresa no ha confirmado directamente si esta falla fue utilizada en dichos ataques, la CISA considera que ya ha sido explotada activamente en entornos reales, motivo por el cual ha añadido la CVE-2024-12356 a su lista de Vulnerabilidades Conocidas y Explotadas (KEV).
Para mitigar el riesgo, BeyondTrust lanzó parches la semana pasada. Las organizaciones que utilizan versiones on-premises deben actualizar de inmediato sus sistemas, mientras que las actualizaciones para entornos en la nube ya han sido aplicadas automáticamente.
CISA ha dado un plazo de solo una semana, hasta el 27 de diciembre de 2024, para que las agencias federales de EE. UU. apliquen las actualizaciones correspondientes. Este corto margen de tiempo refleja la urgencia de la situación, considerando la criticidad de la vulnerabilidad y su uso activo en ataques.
Las organizaciones que utilicen productos BeyondTrust deben:
- Verificar las versiones instaladas de PRA y RS.
- Implementar los parches disponibles en los sistemas afectados.
- Revisar los registros de actividad para identificar posibles signos de compromiso.
- Fortalecer las medidas de seguridad perimetral y de monitorización en sus entornos de acceso remoto.
La acción inmediata por parte de las organizaciones es esencial para mitigar posibles impactos derivados de esta vulnerabilidad crítica, que podría ser un vector clave en futuros ataques dirigidos.
Más información:
- CISA Urges Immediate Patching of Exploited BeyondTrust Vulnerability:
https://www.securityweek.com/cisa-urges-immediate-patching-of-exploited-beyondtrust-vulnerability/
- CVE-2024-12356: https://nvd.nist.gov/vuln/detail/CVE-2024-12356
Deja una respuesta