BeyondTrust, водещ доставчик на решения за сигурен отдалечен достъп и управление на привилегии, е пуснал спешни актуализации за сигурност, които коригират сериозна уязвимост (CVE-2025-5309), позволяваща на неавтентикирани атакуващи да изпълняват произволен код върху уязвими сървъри.
Засегнати продукти и контекст
Уязвимостта засяга два ключови продукта на компанията:
-
Remote Support (RS) – решение за корпоративна поддръжка, използвано от ИТ екипи за дистанционно отстраняване на проблеми.
-
Privileged Remote Access (PRA) – платформа за ограничен и контролиран достъп до системи с повишени нива на сигурност.
Характеристика на уязвимостта
Тип: Server-Side Template Injection (SSTI)
Идентификатор: CVE-2025-5309
Оценка по CVSS: Висока (High)
Открита от: Jorren Geurts, Resillion
Уязвимостта се намира в чат функционалността на RS/PRA, където входните данни не се ескейпват правилно, позволявайки инжектиране на шаблони, което може да доведе до изпълнение на произволен код от страна на сървъра.
Важно: При Remote Support не е необходима автентикация, за да бъде експлоатирана уязвимостта – това я прави особено опасна.
Пачове и засегнати версии
BeyondTrust обяви, че всички облачни инстанции са коригирани към 16 юни 2025 г. Клиентите с on-premise инсталации трябва да приложат съответните пачове ръчно:
| Продукт | Коригирана версия/пач |
|---|---|
| Remote Support | 24.2.2 – 24.2.4 (HELP-10826-2) |
| Remote Support | 24.3.1 – 24.3.3 (HELP-10826-2) |
| Remote Support | 24.3.4 и по-нови |
| Privileged Remote Access | 24.2.2 – 24.2.4 (HELP-10826-2) |
| Privileged Remote Access | 24.3.1 – 24.3.3 (HELP-10826-2) |
| Privileged Remote Access | 25.1.1 (HELP-10826-1) |
| Privileged Remote Access | 25.1.2 и по-нови |
Препоръчани временни мерки
За администратори, които не могат веднага да приложат актуализациите, BeyondTrust препоръчва:
-
Активиране на SAML автентикация за публичния портал.
-
Изключване на представителния списък (Representative List) и анкетата при подаване на инциденти (Issue Submission Survey).
-
Изискване на сесийни ключове при връзки.
История на компрометиране на BeyondTrust
CVE-2025-5309 не е първият инцидент, свързан с уязвимости в продуктите на BeyondTrust:
-
През декември 2024 г. компанията разкри, че атакуващи са използвали две zero-day уязвимости (CVE-2024-12356 и CVE-2024-12686) в RS/PRA, заедно с уязвимост в PostgreSQL (CVE-2025-1094), за да компрометират 17 SaaS инстанции.
-
Впоследствие Министерството на финансите на САЩ потвърди, че мрежата му е била компрометирана от китайска група Silk Typhoon, използвайки същите уязвимости.
-
Атаката беше насочена към чувствителна информация за икономически санкции и чуждестранни инвестиции.
Заключение и препоръки
CVE-2025-5309 представлява високорискова уязвимост, особено поради факта, че експлоатацията не изисква автентикация в RS. Организациите, използващи BeyondTrust продукти, трябва **незабавно да:
- Проверят версията на своя RS/PRA софтуер
- Приложат съответните пачове
- Ограничат функциите, свързани с чат и публичен достъп
- Засилят лог мониторинга и проверят за необичайни връзки
С един компрометиран сървър атакуващ може да заобиколи всички политики за достъп и да контролира критични системи.
