# Privileged Remote Access > [!critical] BeyondTrust Privileged Remote Access (PRA) — plataforma PAM explorada pelo grupo chinês Silk Typhoon como zero-day, comprometendo 17 instâncias SaaS da BeyondTrust e permitindo acesso a sistemas governamentais dos EUA. ## Visão Geral **BeyondTrust Privileged Remote Access (PRA)** é uma plataforma de **Privileged Access Management (PAM)** que controla e audita o acesso remoto de administradores, funcionários privilegiados e terceiros a sistemas críticos. O PRA é especialmente adotado por organizações governamentais, financeiras e de infraestrutura crítica que necessitam de controles rigorosos sobre quem acessa o quê e quando em seus ambientes mais sensíveis. Em dezembro de 2024, CVE-2024-12356 (CVSS 9.8) foi explorado como zero-day pelo grupo de espionagem chinês [[g0125-silk-typhoon|Silk Typhoon]] (anteriormente rastreado como APT41 subgroup). Os atacantes obtiveram **chaves de API do BeyondTrust Remote Support SaaS** por meios não totalmente esclarecidos — possívelmente via acesso inicial a um sistema de terceiro — e as utilizaram para realizar command injection no endpoint vulnerável do PRA, comprometendo 17 instâncias SaaS da BeyondTrust. O incidente resultou em acesso não autorizado a sistemas governamentais dos EUA, incluindo o Departamento do Tesouro. O caso do BeyondTrust PRA ilustra um padrão crítico de risco: plataformas PAM são alvos de altíssimo valor porque, por natureza, possuem chaves para todos os sistemas críticos de uma organização. Comprometer o guardião do acesso privilegiado equivale a comprometer toda a infraestrutura gerenciada. Em 2026, o mesmo produto (BeyondTrust Remote Support) foi afetado por CVE-2026-1731, demonstrando vulnerabilidades sistêmicas na linha de produtos. > [!latam] Relevância Brasil/LATAM > Organizações governamentais brasileiras e empresas de infraestrutura crítica que utilizam BeyondTrust PRA devem revisar sua postura de segurança. O padrão de ataque pelo Silk Typhoon — uso de chaves de API comprometidas para explorar vulnerabilidades em plataformas PAM — é replicável em qualquer implantação comprometida de forma similar. ## Vulnerabilidades Conhecidas | CVE | CVSS | Exploração | Patch | Data | |-----|------|------------|-------|------| | CVE-2024-12356 | 9.8 | Ativa - zero-day, [[g0125-silk-typhoon\|Silk Typhoon]], 17 instâncias SaaS | Sim (25.1.1) | 2024-12 | | [[cve-2026-1731\|CVE-2026-1731]] | 9.8 | Ativa - PoC público, exploração massiva | Sim (25.1.1) | 2026-02 | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", exploit-type AS "Exploração", patch-date AS "Patch" FROM "vulnerabilities" WHERE contains(product, "Privileged Remote Access") SORT patch-date DESC ``` %% ## TTPs Associadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - command injection no endpoint PRA - [[t1199-trusted-relationship|T1199 - Trusted Relationship]] - uso de chaves de API comprometidas de terceiros - [[t1078-valid-accounts|T1078 - Valid Accounts]] - uso de credenciais legítimas para acesso inicial (se disponível no vault) - [[t1210-exploitation-of-remote-services|T1210 - Exploitation of Remote Services]] - movimentação lateral via acesso PAM ## Detecção e Defesa - Auditar e rotacionar todas as chaves de API do BeyondTrust PRA imediatamente - Revisar logs de acesso ao SaaS por atividade anômala retrospectiva - Aplicar princípio de menor privilégio para chaves de API - escopos mínimos necessários - Monitorar acessos privilegiados fora do horário comercial e de localizações incomuns - Aplicar [[m1026-privileged-account-management|M1026 - Privileged Account Management]] com revisão periódica de permissões - Implementar MFA obrigatório para todas as contas com acesso ao painel de administração PRA ## Atores de Ameaça - [[g0125-silk-typhoon|Silk Typhoon]] - grupo de espionagem chinês, explorou CVE-2024-12356 para acesso a sistemas governamentais dos EUA ## Setores Afetados - [[government|Governo]] - alvo primário do Silk Typhoon via BeyondTrust - [[financial|Financeiro]] - controle de acesso a sistemas críticos - [[critical-infrastructure|Infraestrutura Crítica]] - gestão de acesso a sistemas OT/ICS ## Referências - [BeyondTrust Security Advisory - CVE-2024-12356](https://www.beyondtrust.com/trust-center/security-advisories) - [CISA Advisory - BeyondTrust Compromise](https://www.cisa.gov/news-events/cybersecurity-advisories) - [US Treasury Breach via BeyondTrust - The Record](https://therecord.media) ## Notas Relacionadas **Vendor:** [[_beyondtrust|BeyondTrust]] **Produto relacionado:** [[remote-support|Remote Support]] **CVEs:** [[cve-2026-1731|CVE-2026-1731]] **Atores:** [[g0125-silk-typhoon|Silk Typhoon]] **TTPs:** [[t1190-exploit-public-facing-application|T1190]], [[t1199-trusted-relationship|T1199]], [[t1210-exploitation-of-remote-services|T1210]] **Setores:** [[government|Governo]], [[financial|Financeiro]]