Remote Support (RS) and Privileged Remote Access (PRA)

Die Schwachstelle betrifft die Fernwartungslösungen Remote Support (RS) und – in bestimmten älteren Ausführungen – Privileged Remote Access (PRA) von BeyondTrust, mit denen Administratoren entfernte Systeme verwalten und auf privilegierte Zugänge zugreifen. Es handelt sich um eine Befehlsinjektion: Durch das Senden speziell präparierter Anfragen kann ein Angreifer eigene Betriebssystembefehle in den Anwendungsserver einschleusen und ausführen lassen. Der Angriff erfolgt aus der Ferne und setzt weder eine Anmeldung noch eine Benutzerinteraktion voraus – die Befehle werden bereits vor jeder Authentifizierung verarbeitet. Ausgeführt werden sie im Kontext des Site-Benutzers, also mit dessen Rechten auf dem System. In der Folge kann ein Angreifer das betroffene System übernehmen: unbefugt darauf zugreifen, Daten abfließen lassen und den Betrieb des Dienstes stören. Da solche Fernwartungssysteme oft direkt aus dem Internet erreichbar sind und Zugang zu zahlreichen verwalteten Endpunkten bieten, ist der Angriffsweg besonders exponiert.