BeyondTrust ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ที่มีความรุนแรงระดับ High ในโซลูชัน Remote Support (RS) และ Privileged Remote Access (PRA) ซึ่งอาจทำให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยันตัวตนสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลบนเซิร์ฟเวอร์ที่มีช่องโหว่ได้
โดย Remote Support เป็น solution ระดับองค์กรของ BeyondTrust ที่ช่วยให้ทีม IT สามารถแก้ไขปัญหาได้โดยการเชื่อมต่อเข้ากับระบบ และอุปกรณ์จากระยะไกล ในขณะที่ Privileged Remote Access ทำหน้าที่เป็น gateway ที่ปลอดภัย และควบคุมให้ผู้ใช้งานสามารถเข้าถึงเฉพาะระบบ หรือทรัพยากรที่ได้รับอนุญาตเท่านั้น
ช่องโหว่นี้มีหมายเลข CVE-2025-5309 ซึ่งเป็นช่องโหว่ประเภท Server-Side Template Injection ที่ถูกพบโดย Jorren Geurts จากบริษัท Resillion ในฟีเจอร์แชทของ BeyondTrust RS/PRA
BeyondTrust ระบุในคำแนะนำเมื่อวันจันทร์ว่า ระบบ Remote Support และ Privileged Remote Access มีการจัดการ input ที่จะถูกส่งไปยัง template engine อย่างไม่เหมาะสม ทำให้เกิดความเสี่ยงต่อช่องโหว่แบบ Template Injection
ช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถรันโค้ดได้ตามที่ต้องการ ด้วยสิทธิ์ของเซิร์ฟเวอร์ได้ โดยในกรณีของ Remote Support การโจมตีนี้สามารถทำได้โดยไม่ต้องผ่านการยืนยันตัวตน
เมื่อวันที่ 16 มิถุนายน 2025 BeyondTrust ได้ทำการอัปเดตแพตช์ให้กับระบบ RS/PRA ที่อยู่บนคลาวด์ทั้งหมด และแนะนำให้ลูกค้าภายในองค์กรทำการแพตช์ด้วยตนเองหากไม่ได้เปิดใช้งานการอัปเดตอัตโนมัติ
สำหรับผู้ดูแลระบบที่ไม่สามารถติดตั้งแพตช์ด้านความปลอดภัยได้ทันที สามารถลดความเสี่ยงจากการถูกโจมตีผ่านช่องโหว่ CVE-2025-5309 ได้โดยเปิดใช้งาน SAML Authentication สำหรับ Public Portal นอกจากนี้ ผู้ดูแลระบบควรบังคับใช้ Session Keys โดยต้องปิดการใช้งาน Representative List และ Issue Submission Survey พร้อมตรวจสอบให้แน่ใจว่าได้เปิดใช้งาน Session Keys เรียบร้อยแล้ว
แม้ว่าบริษัทจะไม่ได้ระบุว่าช่องโหว่นี้เคยถูกนำไปใช้ในการโจมตีจริงหรือไม่ แต่ช่องโหว่ด้านความปลอดภัยอื่น ๆ ของ BeyondTrust RS/PRA ก็เคยถูกโจมตีในช่วงไม่กี่ปีที่ผ่านมา
เมื่อไม่นานมานี้ บริษัทได้เปิดเผยเมื่อต้นเดือนธันวาคมว่า มีผู้โจมตีเจาะระบบของบริษัทผ่านช่องโหว่ Zero-Day สองรายการใน RS/PRA (CVE-2024-12356 และ CVE-2024-12686) และช่องโหว่ Zero-Day ใน PostgreSQL (CVE-2025-1094) ซึ่งผู้โจมตียังสามารถขโมย API Key ระหว่างการเจาะระบบ โดย Key ถูกนำไปใช้ในการโจมตีระบบ Remote Support แบบ SaaS จำนวน 17 รายการ
ไม่ถึงหนึ่งเดือนต่อมา กระทรวงการคลังของสหรัฐฯ (U.S. Treasury Department) เปิดเผยว่าเครือข่ายถูกโจมตี ซึ่งเหตุการณ์ดังกล่าวถูกเชื่อมโยงไปยังกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลจีนที่ชื่อว่ากลุ่ม Silk Typhoon
กลุ่ม cyberspies จากจีนมุ่งเป้าโจมตีไปที่ สำนักงานควบคุมทรัพย์สินต่างชาติ (Office of Foreign Assets Control - OFAC) ซึ่งเป็นหน่วยงานที่ดูแลโครงการคว่ำบาตรทางการค้า และเศรษฐกิจ รวมไปถึงคณะกรรมการการลงทุนจากต่างประเทศในสหรัฐฯ (Committee on Foreign Investment in the United States - CFIUS) ซึ่งมีหน้าที่ตรวจสอบการลงทุนจากต่างประเทศที่อาจส่งผลกระทบต่อความมั่นคงของชาติ
เชื่อกันว่ากลุ่ม Silk Typhoon สามารถเข้าถึงระบบ BeyondTrust ของกระทรวงการคลังสหรัฐฯ และขโมย Unclassified Information ที่เกี่ยวข้องกับมาตรการคว่ำบาตรที่อาจจะถูกนำมาใช้ในอนาคต รวมถึงเอกสารสำคัญอื่น ๆ ที่มีความสำคัญในระดับเดียวกัน
CISA ได้เพิ่ม CVE-2024-12356 ลงใน Known Exploited Vulnerabilities Catalog เมื่อวันที่ 19 ธันวาคม 2024 พร้อมสั่งให้หน่วยงานรัฐบาลกลางของสหรัฐฯ ดำเนินการรักษาความปลอดภัยระบบภายในเวลาหนึ่งสัปดาห์ จนถึงวันที่ 13 มกราคม 2025
BeyondTrust ให้บริการความปลอดภัยด้าน Identity Security แก่ลูกค้ามากกว่า 20,000 ราย ในกว่า 100 ประเทศ รวมถึงองค์กรในกลุ่ม Fortune 100 ถึง 75% ทั่วโลก
ที่มา : bleepingcomputer
You must be logged in to post a comment.