Privileged Remote Access (PRA) and Remote Support (RS)

Die Schwachstelle steckt in den BeyondTrust-Lösungen Privileged Remote Access (PRA) und Remote Support (RS), die den abgesicherten Fernzugriff auf Systeme und den IT-Support aus der Ferne ermöglichen. Es handelt sich um eine Befehlsinjektion auf Betriebssystemebene (OS Command Injection): Ein Angreifer, der bereits über administrative Rechte in der Anwendung verfügt, kann eine präparierte, bösartige Datei hochladen und darüber eigene Betriebssystembefehle einschleusen. Diese Befehle werden dann im Kontext des sogenannten Site-Users ausgeführt, sodass der Angreifer die Kontrolle über die zugrunde liegende Umgebung erlangt. Ausnutzbar ist der Defekt aus der Ferne. Voraussetzung ist allerdings ein bereits bestehender administrativer Zugang – die Lücke dient damit vor allem dazu, vorhandene Adminrechte in eine Ausführung von Systembefehlen und damit in einen tieferen Zugriff auf das Hostsystem umzuwandeln. Betroffen sind beide Produkte, die typischerweise an zentraler Stelle für privilegierten Zugriff eingesetzt werden.