Пост Лукацкого

В декабре 2024 года ИБ-компания BeyondTrust обнаружила две уязвимости в своих продуктах Privileged Remote Access (PRA) и Remote Support (RS), с помощью которых осуществляется удаленная техническая поддержка по модели SaaS. Эти дыры позволяли неавторизованному злоумышленнику удаленно выполнять команды операционной системы от имени пользователя сайта через специально сформированный клиентский запрос. В результате было скомпрометировано, как утверждается, ограниченное число клиентов.

Уязвимости возникли из-за недостаточной проверки входных данных в компонентах PRA и RS, что позволило злоумышленникам получить доступ к ключу API и за счет этого внедрять и выполнять произвольные команды на сервере, включая и сбор паролей для локальных учетных записей приложений. Это указывает на пробелы в процессе разработки и тестирования безопасности программного обеспечения.

BeyondTrust уже не поможешь, а вот остальным можно дать следующие рекомендации для предотвращения подобных инцидентов в будущем:
🔤 Усиление процессов безопасной разработки (SDLC). Интегрировать практики безопасного кодирования и регулярного анализа уязвимостей на всех этапах разработки.
🔤 Регулярное обновление и патчинг систем. Обеспечить своевременное применение обновлений безопасности для всех продуктов и систем, как облачных, так и локальных.
🔤 Проведение регулярной, а лучше непрерывной оценки защищенности. Организовать периодические проверки и тестирования на проникновение для выявления и устранения потенциальных уязвимостей с перспективой выхода на Bug Bounty.
🔤 Обучение сотрудников. Проводить регулярное обучение разработчиков и специалистов по безопасности современным методам защиты и реагирования на инциденты, а также SecDevOps.
🔤 Внедрение многоуровневой защиты. Использовать дополнительные механизмы безопасности, такие как системы обнаружения угроз (IDS/WAF/NGFW) и средства мониторинга активности (SIEM/NDR/CDR), для своевременного выявления и предотвращения атак.

Please open Telegram to view this post

VIEW IN TELEGRAM

www.group-telegram.com/us/alukatsky.com/11973

7.7K viewsDec 24 at 11:33

В декабре 2024 года ИБ-компания BeyondTrust обнаружила две уязвимости в своих продуктах Privileged Remote Access (PRA) и Remote Support (RS), с помощью которых осуществляется удаленная техническая поддержка по модели SaaS. Эти дыры позволяли неавторизованному злоумышленнику удаленно выполнять команды операционной системы от имени пользователя сайта через специально сформированный клиентский запрос. В результате было скомпрометировано, как утверждается, ограниченное число клиентов.

Уязвимости возникли из-за недостаточной проверки входных данных в компонентах PRA и RS, что позволило злоумышленникам получить доступ к ключу API и за счет этого внедрять и выполнять произвольные команды на сервере, включая и сбор паролей для локальных учетных записей приложений. Это указывает на пробелы в процессе разработки и тестирования безопасности программного обеспечения.

BeyondTrust уже не поможешь, а вот остальным можно дать следующие рекомендации для предотвращения подобных инцидентов в будущем:
🔤 Усиление процессов безопасной разработки (SDLC). Интегрировать практики безопасного кодирования и регулярного анализа уязвимостей на всех этапах разработки.
🔤 Регулярное обновление и патчинг систем. Обеспечить своевременное применение обновлений безопасности для всех продуктов и систем, как облачных, так и локальных.
🔤 Проведение регулярной, а лучше непрерывной оценки защищенности. Организовать периодические проверки и тестирования на проникновение для выявления и устранения потенциальных уязвимостей с перспективой выхода на Bug Bounty.
🔤 Обучение сотрудников. Проводить регулярное обучение разработчиков и специалистов по безопасности современным методам защиты и реагирования на инциденты, а также SecDevOps.
🔤 Внедрение многоуровневой защиты. Использовать дополнительные механизмы безопасности, такие как системы обнаружения угроз (IDS/WAF/NGFW) и средства мониторинга активности (SIEM/NDR/CDR), для своевременного выявления и предотвращения атак.