BeyondTrust, водещ доставчик на решения за сигурен отдалечен достъп и управление на привилегии, е пуснал спешни актуализации за сигурност, които коригират сериозна уязвимост (CVE-2025-5309), позволяваща на неавтентикирани атакуващи да изпълняват произволен код върху уязвими сървъри.

Засегнати продукти и контекст

Уязвимостта засяга два ключови продукта на компанията:

• Remote Support (RS) – решение за корпоративна поддръжка, използвано от ИТ екипи за дистанционно отстраняване на проблеми.

• Privileged Remote Access (PRA) – платформа за ограничен и контролиран достъп до системи с повишени нива на сигурност.

Характеристика на уязвимостта

Тип: Server-Side Template Injection (SSTI)
Идентификатор: CVE-2025-5309
Оценка по CVSS: Висока (High)
Открита от: Jorren Geurts, Resillion

Уязвимостта се намира в чат функционалността на RS/PRA, където входните данни не се ескейпват правилно, позволявайки инжектиране на шаблони, което може да доведе до изпълнение на произволен код от страна на сървъра.

Важно: При Remote Support не е необходима автентикация, за да бъде експлоатирана уязвимостта – това я прави особено опасна.

Пачове и засегнати версии

BeyondTrust обяви, че всички облачни инстанции са коригирани към 16 юни 2025 г. Клиентите с on-premise инсталации трябва да приложат съответните пачове ръчно:

Препоръчани временни мерки

За администратори, които не могат веднага да приложат актуализациите, BeyondTrust препоръчва:

• Активиране на SAML автентикация за публичния портал.

• Изключване на представителния списък (Representative List) и анкетата при подаване на инциденти (Issue Submission Survey).

• Изискване на сесийни ключове при връзки.

История на компрометиране на BeyondTrust

CVE-2025-5309 не е първият инцидент, свързан с уязвимости в продуктите на BeyondTrust:

• През декември 2024 г. компанията разкри, че атакуващи са използвали две zero-day уязвимости (CVE-2024-12356 и CVE-2024-12686) в RS/PRA, заедно с уязвимост в PostgreSQL (CVE-2025-1094), за да компрометират 17 SaaS инстанции.

• Впоследствие Министерството на финансите на САЩ потвърди, че мрежата му е била компрометирана от китайска група Silk Typhoon, използвайки същите уязвимости.

• Атаката беше насочена към чувствителна информация за икономически санкции и чуждестранни инвестиции.

Заключение и препоръки

CVE-2025-5309 представлява високорискова уязвимост, особено поради факта, че експлоатацията не изисква автентикация в RS. Организациите, използващи BeyondTrust продукти, трябва **незабавно да:

•  Проверят версията на своя RS/PRA софтуер
•  Приложат съответните пачове
• Ограничат функциите, свързани с чат и публичен достъп
•  Засилят лог мониторинга и проверят за необичайни връзки

С един компрометиран сървър атакуващ може да заобиколи всички политики за достъп и да контролира критични системи.