Securitybedrijf BeyondTrust is getroffen door een aanval waarbij aanvallers hebben ingebroken op de Remote Support SaaS instances van klanten, zo heeft het bedrijf zelf bekendgemaakt. De Amerikaanse overheid waarschuwt voor een actief misbruikte kwetsbaarheid in BeyondTrust Privileged Remote Access (PRA) en Remote Support (RS). BeyondTrust biedt Privileged Access Management (PAM) oplossingen en software voor remote support waar bijvoorbeeld helpdesks gebruik van kunnen maken.

BeyondTrust meldt dat het op 2 december 'potentieel verdacht gedrag' in de Remote Support SaaS instance van een klant ontdekte. Op 5 december werd het verdachte gedrag bevestigd en bleken meer instances van klanten te zijn gecompromitteerd. Volgens het securitybedrijf was een API key voor Remote Support SaaS gecompromitteerd. De key werd vervolgens ingetrokken en getroffen klanten gewaarschuwd.

Tijdens het onderzoek naar de aanval ontdekte BeyondTrust naar eigen zeggen twee kwetsbaarheden in zowel de zelf-gehoste als cloudversie van Remote Support en Privileged Remote Access. Vervolgens bracht het bedrijf updates uit. Klanten met een zelf-gehoste installatie moeten die zelf installeren. Het gaat onder andere om een kritiek beveiligingslek aangeduid als CVE-2024-12356 dat command injection mogelijk maakt. Daardoor kan een ongeauthenticeerde aanvaller commando's op het systeem uitvoeren. De impact is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

BeyondTrust maakt geen melding dat de twee ontdekte beveiligingslekken bij de aanvallen zijn misbruikt. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwt echter dat misbruik van CVE-2024-12356 is waargenomen. Verdere details over deze aanvallen zijn niet door de overheidsinstantie gegeven.