Un número notable de instancias de BeyondTrust permanecen conectadas a Internet, a pesar de las terribles advertencias de que los actores de amenazas patrocinados por el estado chino están explotando activamente una vulnerabilidad crítica en sistemas sin parches.
El error BeyondTrust, rastreado bajo CVE-2024-12356, tiene una puntuación CVSS asignada de 9,8 y afecta el acceso remoto privilegiado (PRA) y la asistencia remota (RS). BeyondTrust informó por primera vez sobre esto el 16 de diciembre de 2024. Tres días después, la vulnerabilidad se agregó a la lista de vulnerabilidades explotadas conocidas de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). A finales de mes, un Grupo de hackers patrocinado por el estado chino había utilizado esta vulnerabilidad para ingresar al Departamento del Tesoro de EE. UU. y robar datos.
Un nuevo análisis de Censys ha descubierto que, a pesar de la evidencia de alto perfil de una campaña generalizada de amenazas persistentes avanzadas (APT) contra sistemas sin parches, hay 8.602 instancias de BeyondTrust PRA y RS. siempre conectado a internetincluido el 72% en los Estados Unidos. Pero Censys añadió una advertencia importante a la investigación: no tienen forma de saber si los casos expuestos se han solucionado o no.
No está claro qué parte de estos casos abiertos aún no se ha solucionado. BeyondTrust dice que todas las instancias autohospedadas se han actualizado de forma forzada, pero la compañía no confirmó cuando se le preguntó si eso significaba que esas instancias abiertas realmente habían sido parcheadas. Una parte importante, si no todos, de estos sistemas son implementaciones autohospedadas de BeyondTrust que se han dejado abiertas a Internet y también son potencialmente vulnerables, dicen los expertos.
Censys no respondió a una solicitud de aclaración.
Es probable que las implementaciones autohospedadas de BeyondTrust estén causando el retraso
«Si estos datos son correctos, reflejan la antigua compensación entre las filosofías operativas de los servicios de software y los modelos de licencia», dice Trey Ford, CISO de Bugcrowd. “Los servicios alojados proporcionarán economías de escala al respaldar tanto los esfuerzos de detección/respuesta como la aplicación de parches y el refuerzo centralizados. »
Ford agrega que las organizaciones pueden ahorrar dinero en licencias con modelos de software como servicio (SaaS) autohospedados, pero lo que les falta a cambio es inteligencia de amenazas críticas y soporte de gestión.
“Los clientes tienen capacidades creativas de actualización, refuerzo y monitoreo; en la práctica, estás operando en una isla por tu cuenta”, afirma Ford. “Los proveedores de servicios cobran una pequeña prima por proporcionar parches, refuerzo y monitoreo, a escala, donde la creciente ola de eficiencia operativa protege a todos los clientes. »
Clientes de la nube de BeyondTrust fueron parcheados automáticamente el 16 de diciembre de 2024, tan pronto como se informó la vulnerabilidad.
«Los clientes que utilicen servicios centralizados se beneficiarán de la implementación de parches priorizados y casi inmediatos durante los ciclos de respuesta a incidentes», afirma Ford. «Los sistemas observados en línea por el informe de Censys con un retraso en la implementación de parches son el retraso en el descubrimiento, prueba e implementación de parches».
Las implementaciones autohospedadas que no pueden parchearse, por cualquier motivo, aún pueden proteger las vulnerables herramientas remotas de BeyondTrust, según John Bambenek, experto en ciberseguridad y presidente de Bambenek Consulting.
«En situaciones como esta, incluso si no se pueden aplicar parches, las organizaciones aún pueden limitar la conectividad entrante a estos sistemas solo a direcciones IP confiables», explica. «Las organizaciones saben quién las apoya de forma remota, [so] pueden bloquear fácilmente estas direcciones IP.
