cve-2024-12356 - RunkIntel

# CVE-2024-12356 > [!critical] Command Injection Crítico no BeyondTrust PRA/RS - CVSS 9.8 > Injeção de comando não autenticada no BeyondTrust Privileged Remote Access e Remote Support permite execução de código arbitrário como root. Explorado ativamente antes do patch, incluindo em ataque ao US Treasury Department em dezembro de 2024. Afeta soluções de acesso privilegiado usadas por bancos, governos e grandes corporações. ## Visão Geral [[cve-2024-12356|CVE-2024-12356]] é uma vulnerabilidade crítica de command injection no BeyondTrust Privileged Remote Access (PRA) e Remote Support (RS) - soluções de acesso privilegiado usadas por bancos, agências governamentais e grandes corporações para gerenciar acesso remoto a sistemas críticos. A falha permite que um atacante remoto sem autenticação injete comandos do sistema operacional e obtenha execução de código com privilégios de root. A vulnerabilidade foi explorada em um ataque de alto perfil ao US Department of the Treasury em dezembro de 2024, onde atacantes comprometeram instâncias BeyondTrust da agência e acessaram documentos não classificados. O caso evidência o risco catastrófico: o BeyondTrust é exatamente a ferramenta que protege o acesso mais privilegiado da organização - comprometê-la significa acesso irrestrito a todos os sistemas gerenciados. Para organizações que utilizam BeyondTrust PRA ou Remote Support - que inclui instituições financeiras, órgãos governamentais e empresas de infraestrutura crítica no Brasil - esta vulnerabilidade deve ser tratada como P1 emergêncial, com patch imediato e auditoria de acessos retroativa. > [!latam] Relevância LATAM > Bancos, órgãos governamentais e empresas de infraestrutura crítica brasileiras que utilizam BeyondTrust para acesso privilegiado devem auditar logs de acesso desde outubro de 2024. Qualquer instância exposta à internet sem o patch aplicado deve ser considerada comprometida até prova em contrário. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Command Injection (CWE-77) | | Componente | BeyondTrust PRA e Remote Support | | CVSS | 9.8 CRITICAL | | Pré-requisito | Nenhum - não requer autenticação | | Impacto | RCE como root, comprometimento total do servidor PAM | | Exploit in-the-wild | Sim - US Treasury, dezembro 2024 | ## Attack Flow ```mermaid graph TB A["🌐 Porta BeyondTrust Exposta na internet"] --> B["⚡ CVE-2024-12356 Command injection sem auth"] B --> C["🔑 Execução como root Servidor PAM comprometido"] C --> D["🗝️ Acesso a credenciais Contas privilegiadas gerenciadas"] D --> E["🏛️ Movimento lateral Todos os sistemas gerenciados"] ``` ## TTPs Associadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração do BeyondTrust exposto - [[t1078-004-cloud-accounts|T1078.004]] - Comprometimento de contas privilegiadas - [[t1021-remote-services|T1021]] - Abuso de serviços de acesso remoto gerenciados - [[t1552-004-private-keys|T1552.004]] - Acesso a chaves privadas e credenciais PAM ## Detecção e Defesa **Mitigação crítica:** Atualizar BeyondTrust PRA e RS para versão 24.3.1 imediatamente. **Auditoria obrigatória:** - Revisar logs de acesso BeyondTrust desde outubro 2024 - Auditar todas as sessões privilegiadas no período de risco - Rotacionar credenciais gerenciadas pelo BeyondTrust comprometido **Mitigações estruturais:** - [[m1030-network-segmentation|M1030]] - BeyondTrust nunca deve ter exposição direta à internet - [[m1026-privileged-account-management|M1026]] - PAM como última linha de defesa - proteger com camadas adicionais - [[m1051-update-software|M1051]] - Patch emergêncial BeyondTrust ## Referências - [BeyondTrust Security Advisory](https://www.beyondtrust.com/security-advisory) - [US Treasury breach - BeyondTrust](https://www.bleepingcomputer.com) - [Rapid7 - CVE-2024-12356 analysis](https://www.rapid7.com/blog)