В популярном корпоративном ПО для удалённой поддержки BeyondTrust обнаружена критическая уязвимость, которая позволяет хакерам запускать код на сервере — даже без входа в систему.
Под угрозой оказались тысячи компаний по всему миру, в том числе из списка Fortune 100.
Уязвимость получила идентификатор CVE-2025-5309 и затрагивает продукты Remote Support (RS) и Privileged Remote Access (PRA). Проблема кроется в чате: приложение неправильно обрабатывает шаблоны, вставляя пользовательский ввод прямо в движок шаблонов без экранирования. Это открывает путь к Server-Side Template Injection — технике, позволяющей выполнять произвольный код на сервере.
Хуже всего то, что для атаки в Remote Support не требуется авторизация. То есть доступ к административным возможностям сервера можно получить, просто воспользовавшись чатом.
По данным BleepingComputer, разработчик уже устранил уязвимость в облачных инстансах и выпустил патчи для локальных версий. Те, кто обновления не включил, должны срочно установить их вручную.
Какие версии защищены
— Remote Support: 24.2.4+, 24.3.4 и все будущие;
— PRA: 25.1.2+ или патчи HELP-10826-1/2 для предыдущих сборок.
До обновления BeyondTrust советует временно включить SAML-аутентификацию на публичном портале, отключить список представителей и опросы перед обращением, и использовать сессионные ключи.
Интерес к уязвимостям BeyondTrust не случаен: в прошлом году ПО компании уже использовалось в ряде атак. В декабре 2024-го злоумышленники с помощью двух 0-day и одной уязвимости PostgreSQL взломали серверы BeyondTrust, похитили API-ключ и получили доступ к 17 SaaS-инстансам. Вскоре стало известно, что среди целей — Минфин США и его подразделения, отвечающие за санкции и контроль инвестиций. Ответственность тогда приписали китайской APT-группе Silk Typhoon.
BeyondTrust обслуживает более 20 000 организаций в 100+ странах, включая подавляющее большинство крупнейших корпораций. Поэтому новая уязвимость — не просто технический сбой, а потенциальный инструмент кибершпионажа против стратегически важных игроков.
Под угрозой оказались тысячи компаний по всему миру, в том числе из списка Fortune 100.
Уязвимость получила идентификатор CVE-2025-5309 и затрагивает продукты Remote Support (RS) и Privileged Remote Access (PRA). Проблема кроется в чате: приложение неправильно обрабатывает шаблоны, вставляя пользовательский ввод прямо в движок шаблонов без экранирования. Это открывает путь к Server-Side Template Injection — технике, позволяющей выполнять произвольный код на сервере.
Хуже всего то, что для атаки в Remote Support не требуется авторизация. То есть доступ к административным возможностям сервера можно получить, просто воспользовавшись чатом.
По данным BleepingComputer, разработчик уже устранил уязвимость в облачных инстансах и выпустил патчи для локальных версий. Те, кто обновления не включил, должны срочно установить их вручную.
Какие версии защищены
— Remote Support: 24.2.4+, 24.3.4 и все будущие;
— PRA: 25.1.2+ или патчи HELP-10826-1/2 для предыдущих сборок.
До обновления BeyondTrust советует временно включить SAML-аутентификацию на публичном портале, отключить список представителей и опросы перед обращением, и использовать сессионные ключи.
Интерес к уязвимостям BeyondTrust не случаен: в прошлом году ПО компании уже использовалось в ряде атак. В декабре 2024-го злоумышленники с помощью двух 0-day и одной уязвимости PostgreSQL взломали серверы BeyondTrust, похитили API-ключ и получили доступ к 17 SaaS-инстансам. Вскоре стало известно, что среди целей — Минфин США и его подразделения, отвечающие за санкции и контроль инвестиций. Ответственность тогда приписали китайской APT-группе Silk Typhoon.
BeyondTrust обслуживает более 20 000 организаций в 100+ странах, включая подавляющее большинство крупнейших корпораций. Поэтому новая уязвимость — не просто технический сбой, а потенциальный инструмент кибершпионажа против стратегически важных игроков.
