Ribuan Sistem Buggy BeyondTrust Tetap Terekspos

Sejumlah besar contoh BeyondTrust tetap terhubung ke Internet, meskipun ada peringatan mengerikan bahwa pelaku ancaman yang disponsori negara Tiongkok secara aktif mengeksploitasi kerentanan kritis dalam sistem yang belum ditambal.

Bug BeyondTrust, yang dilacak pada CVE-2024-12356, memiliki skor CVSS yang ditetapkan sebesar 9,8 dan memengaruhi Akses Jarak Jauh Istimewa (PRA) dan Dukungan Jarak Jauh (RS). Kerentanan ini pertama kali dilaporkan oleh BeyondTrust pada 16 Desember 2024. Tiga hari kemudian, kerentanan tersebut ditambahkan ke daftar Kerentanan yang Diketahui Dieksploitasi dari Badan Keamanan Siber dan Infrastruktur (CISA). Pada akhir bulan, a Kelompok peretas yang disponsori negara Tiongkok telah menggunakan kelemahan tersebut untuk membobol Departemen Keuangan AS dan mencuri data.

Analisis baru dari Censys menemukan bahwa meskipun ada bukti yang dipublikasikan mengenai kampanye ancaman persisten tingkat lanjut (APT) yang meluas terhadap sistem yang belum ditambal, terdapat 8.602 contoh BeyondTrust PRA dan RS masih terhubung ke Internet72% di antaranya berada di AS. Namun Censys menambahkan peringatan besar pada penelitian ini – tidak ada cara bagi mereka untuk mengetahui apakah kasus yang terekspos telah ditambal atau tidak.

Asumsi yang dihasilkan dari penelitian ini adalah bahwa sebagian besar, jika tidak seluruh, dari sistem ini adalah penerapan BeyondTrust yang belum di-patch dan dihosting sendiri, yang secara tidak sengaja dibiarkan terbuka ke Internet, dan kemungkinan besar rentan, menurut para ahli.

Censys belum menanggapi permintaan klarifikasi.

Penerapan BeyondTrust yang Dihosting Sendiri Kemungkinan Terjadi di Balik Keterlambatan

“Jika data ini benar, maka ini mencerminkan pertukaran lama dalam filosofi pengoperasian layanan perangkat lunak dan model lisensi,” kata Bugcrowd CISO Trey Ford. “Layanan yang dihosting akan memiliki skala ekonomi yang mendukung upaya deteksi/respons, serta patching dan pengerasan terpusat.”

Ford menambahkan bahwa organisasi dapat melihat penghematan biaya pada perizinan dengan model perangkat lunak sebagai layanan (SaaS) yang dihosting sendiri, namun hal yang mereka lewatkan adalah intelijen ancaman penting dan bantuan remediasi.

“Pelanggan memiliki kemampuan melakukan patching, pengerasan, dan membangun pemantauan – Anda secara efektif beroperasi di sebuah pulau sendirian,” jelas Ford. “Penyedia layanan mengenakan biaya yang sedikit lebih mahal untuk menyediakan patching, pengerasan, dan pemantauan – dalam skala besar – di mana peningkatan efisiensi operasional melindungi semua pelanggan.”

Pelanggan cloud BeyondTrust secara otomatis ditambal pada 16 Desember 2024, segera setelah kerentanan dilaporkan. Versi BeyondTrust yang dihosting sendiri memerlukan patch, dan dapat dengan mudah diabaikan oleh tim keamanan siber yang kewalahan.

“Pelanggan yang menggunakan layanan terpusat akan melihat penerapan patch yang diprioritaskan dan hampir seketika selama siklus respons insiden,” kata Ford. “Sistem yang diamati secara online oleh laporan Censys dengan penerapan patch yang lambat adalah keterlambatan dalam penemuan patch, pengujian, dan penerapan patch.”

Penerapan yang dihosting sendiri yang tidak dapat ditambal, apa pun alasannya, masih dapat melindungi alat jarak jauh BeyondTrust yang rentan, menurut John Bambenek, pakar keamanan siber dan presiden, Bambenek Consulting.

“Dalam situasi seperti ini, meskipun patching tidak dapat dilakukan, organisasi masih dapat membatasi konektivitas masuk ke sistem ini hanya pada alamat IP tepercaya,” katanya. “Organisasi mengetahui siapa yang mendukung mereka dari jarak jauh, [so] mereka dapat dengan mudah mengunci alamat IP tersebut.”