BeyondTrustは、同社のリモート・サポート(RS)および特権リモート・アクセス(PRA)ソリューションに存在する、認証されていない攻撃者が脆弱なサーバ上でリモート・コードを実行する可能性のある重大な欠陥を修正するセキュリティ・アップデートをリリースしました。
リモートサポートは、ITサポートチームがシステムやデバイスにリモート接続することで問題のトラブルシューティングを支援するBeyondTrustのエンタープライズグレードのリモートサポートソリューションであり、一方、特権リモートアクセスは、安全なゲートウェイとして機能し、ユーザが使用を許可された特定のシステムやリソースにのみアクセスできるようにします。
CVE-2025-5309として追跡されているこのサーバーサイドテンプレートインジェクションの脆弱性は、Resillion社のJorren Geurts氏がBeyondTrust RS/PRAのチャット機能で発見しました。
「リモートサポートおよび特権リモートアクセスコンポーネントは、テンプレートエンジンに意図された入力を適切にエスケープしないため、テンプレートインジェクションの脆弱性が発生する可能性があります。
「この欠陥により、攻撃者はサーバーのコンテキスト内で任意のコードを実行できる可能性があります。注目すべきは、リモートサポートの場合、悪用に認証は必要ないということです。
BeyondTrustは、2025年6月16日時点ですべてのRS/PRAクラウドシステムにパッチを適用し、オンプレミスの顧客には、自動アップデートを有効にしていない場合は手動でパッチを適用するよう助言した。
セキュリティパッチをすぐに適用できない管理者は、パブリックポータルの SAML 認証を有効にすることで、CVE-2025-5309 を悪用されるリスクを軽減することができます。また、セッション・キーが有効になっていることを確認しながら、代表者リストと課題提出調査を無効にして、セッション・キーの使用を強制する必要があります。
| 製品 | 修正バージョン |
| リモートサポート | 24.2.2 から 24.2.4 (HELP-10826-2 パッチ付き) |
| リモートサポート | 24.3.1から24.3.3 (HELP-10826-2パッチ付き) |
| リモートサポート | 24.3.4および将来の24.3.xリリース |
| 特権リモートアクセス | 25.1.1 (HELP-10826-1パッチ付き) |
| 特権リモートアクセス | 25.1.2以上 |
| 特権リモートアクセス | 24.2.2~24.2.4(HELP-10826-2パッチ適用時) |
| 特権リモートアクセス | 24.3.1から24.3.3 (HELP-10826-2パッチ付き) |
| 特権リモートアクセス | 25.1.1(HELP-10826-1パッチ付き |
同社は、この脆弱性が実際に悪用されたとは述べていないが、近年、BeyondTrust RS/PRAの他のセキュリティ欠陥が攻撃の標的になっている。
最近では、攻撃者が2つのRS/PRAゼロデイバグ(CVE-2024-12356およびCVE-2024-12686)とPostgreSQLゼロデイ(CVE-2025-1094)を使用して同社のシステムに侵入したことを、同社は12月初旬に公表した。彼らはまた、侵害の間にAPIキーを盗み、17のリモートサポートSaaSインスタンスを侵害するために使用されました。
この事件は、後にSilk Typhoonとして追跡されている中国の国家に支援されたハッカーと関連づけられた。
中国のサイバースピーの標的は、貿易と経済制裁プログラムを管理する外国資産管理局(OFAC)と、国家安全保障上のリスクについて外国からの投資を審査する対米外国投資委員会(CFIUS)だった。
Silk Typhoonは、財務省のBeyondTrustインスタンスにアクセスし、潜在的な制裁措置やその他の同様の機密文書に関する未分類の情報を盗んだと考えられている。
CISAは12月19日、CVE-2024-12356をKnown Exploited Vulnerabilitiesカタログに追加し、米連邦政府機関に対し、1月13日までに1週間以内にネットワークを保護するよう命じた。
ビヨンドトラスト社は、フォーチュン100社の75%を含む100カ国以上、20,000社以上の顧客にアイデンティティ・セキュリティ・サービスを提供しています。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
ITチームが手作業によるパッチ管理をやめる理由
かつてはパッチ適用といえば、複雑なスクリプト、長時間の作業、終わりのない消火訓練が必要でした。今は違います。
この新しいガイドでは、Tines氏が最新のIT組織が自動化によってどのようにレベルアップしているかを解説している。複雑なスクリプトは必要ありません。
Comments