BeyondTrust已公布其Privileged Remote Access（PRA，特权远程访问）和Remote Support（RS，远程支持）产品中存在的严重安全漏洞详情，该漏洞可能导致任意命令的执行。

　　Privileged Remote Access用于控制、管理和审计特权账户及凭证，为内部、外部和第三方用户提供对本地和云资源的零信任访问。Remote Support则允许服务台人员安全地连接到远程系统和移动设备。

　　该漏洞（CVE编号：CVE-2024-12356，CVSS评分：9.8）被描述为命令注入漏洞。

　　BeyondTrust在一份公告中表示：“在Privileged Remote Access（PRA）和Remote Support（RS）产品中发现了一个严重漏洞，该漏洞可能允许未经身份验证的攻击者注入以站点用户身份运行的命令。”

　　攻击者可以通过发送恶意客户端请求来利用该漏洞，从而在站点用户的上下文中执行任意操作系统命令。

　　受影响版本包括：

　　Privileged Remote Access（24.3.1及更早版本），已通过PRA补丁BT24-10-ONPREM1或BT24-10-ONPREM2修复

　　Remote Support（24.3.1及更早版本），已通过RS补丁BT24-10-ONPREM1或BT24-10-ONPREM2修复

　　截至2024年12月16日，云实例已应用该漏洞的补丁。对于未订阅自动更新的本地软件用户，建议应用最新的修复补丁。

　　“如果客户使用的是22.1之前的版本，需要先进行升级，才能应用此补丁。”BeyondTrust表示。

　　BeyondTrust称，该漏洞是在对2024年12月2日发生的涉及“有限数量的Remote Support SaaS客户”的“安全事件”进行持续取证调查时发现的。

　　BeyondTrust表示：“对Remote Support SaaS问题的根本原因进行分析后，发现Remote Support SaaS的一个API密钥已被泄露。”该公司还表示，已“立即撤销了该API密钥，通知了已知受影响的客户，并在同一天暂停了这些实例，同时为这些客户提供了替代的Remote Support SaaS实例”。

　　BeyondTrust还表示，它仍在与一家未具名的“网络安全和取证公司”合作，以确定该泄露的原因和影响。