A BeyondTrust divulgou detalhes sobre uma vulnerabilidade crítica em seus produtos Privileged Remote Access (PRA) e Remote Support (RS), que pode permitir a execução de comandos arbitrários por invasores. O problema, rastreado como CVE-2024-12356 e com pontuação CVSS de 9.8, é descrito como um caso de injeção de comandos. O Privileged Remote Access é utilizado para controlar e auditar contas privilegiadas, oferecendo acesso de confiança zero a recursos locais e em nuvem para usuários internos e externos. Já o Remote Support permite que equipes de suporte conectem-se de forma segura a sistemas remotos e dispositivos móveis.

Segundo o comunicado da empresa, a falha permite que um invasor não autenticado envie solicitações maliciosas ao cliente, possibilitando a execução de comandos do sistema operacional no contexto do usuário do site. As correções foram disponibilizadas nos patches BT24-10-ONPREM1 e BT24-10-ONPREM2. Para instâncias em nuvem, a vulnerabilidade foi corrigida automaticamente em 16 de dezembro de 2024. No entanto, usuários das versões on-premises precisam aplicar as atualizações mais recentes manualmente, especialmente se não utilizarem atualizações automáticas.

A falha foi descoberta durante uma investigação forense em andamento, iniciada após um “incidente de segurança” em 2 de dezembro de 2024, que afetou um número limitado de clientes do serviço SaaS do Remote Support. Durante a análise, foi identificada a exposição de uma chave de API para o SaaS do Remote Support, que foi imediatamente revogada pela BeyondTrust. A empresa notificou os clientes impactados, suspendeu as instâncias comprometidas e disponibilizou alternativas para manter o suporte ativo.