12月16日資安業者BeyondTrust發布資安公告,指出旗下的遠端支援(Remote Support,RS)系統、特權遠端存取(Privileged Remote Access,PRA)系統存在重大層級的命令注入漏洞CVE-2024-12356,攻擊者可發送惡意用戶端存取請求,而能在未經授權的情況下,遠端執行作業系統底層的任意命令,24.3.1版之前的所有版本都受到影響,CVSS風險評為9.8(滿分10分),如今該公司表示有人將其用於攻擊SaaS環境用戶。
同日該公司表示,根據初步調查的結果,在他們首度於8日公布的遠端支援SaaS服務資安事故裡,主動替採用雲端版本的RS及PRA用戶套用更新,這項漏洞就是CVE-2024-12356。BeyondTrust強調,他們的修補程式都是透過產品標準更新流程推送,即使是客戶內部環境建置的版本,也能在無須停機的狀態之下套用。
事隔兩天,BeyondTrust指出他們又找到攻擊者利用的另一個命令注入漏洞CVE-2024-12686,具有管理權限的攻擊者能用來注入命令,並上傳惡意檔案,CVSS風險評為6.6。該公司表示,他們於16日發布的更新已涵蓋這項漏洞的修補程式。
針對處理這起事故的過程,BeyondTrust最初於12月2日察覺到疑似異常的行為,發生其中一個使用SaaS版本RS客戶的實體,該公司資安團隊隨即展開調查,並於5日確認遭到攻擊,當時已有一定數量的SaaS版本RS客戶受害。
該公司進一步指出,當時他們將這些受害的SaaS實體進行隔離,並通知客戶,而且他們確認有1個SaaS的API金鑰外流,該公司已進行註銷。
值得留意的是,這起攻擊行動裡,攻擊者很有可能將上述兩項漏洞在尚未修補之前就用於攻擊行動,但BeyondTrust並未在這些漏洞的公告提及已遭到利用的情況。不過,該公司向資安新聞網站Bleeping Computer透露,經過他們的確認,尚未有客戶遭到勒索軟體攻擊。
熱門新聞
2024-12-16
2024-12-19
2024-11-29
2024-12-16
2024-12-17
