ช่องโหว่ใน BeyondTrust PRA เสี่ยงถูกแฮกเกอร์แฮกเซสชันโดยไม่ต้องล็อกอิน
Last updated: 8 May 2025
369 Views
สรุปข้อมูล
พบช่องโหว่ความปลอดภัยระดับรุนแรงในโซลูชัน BeyondTrust Privileged Remote Access (PRA) ที่อาจเปิดช่องให้ผู้ไม่หวังดีเข้าควบคุมเซสชันที่มีสิทธิ์ระดับสูงได้โดยไม่ได้รับอนุญาต ช่องโหว่นี้จัดอยู่ในประเภท การข้ามขั้นตอนตรวจสอบสิทธิ์ภายในเครื่อง (Local Authentication Bypass) และได้รับการระบุภายใต้รหัส CVE-2025-0217 ซึ่งสร้างความเสี่ยงอย่างมากต่อองค์กรที่พึ่งพาเทคโนโลยีนี้ในการบริหารจัดการการเข้าถึงระบบที่สำคัญ
รายละเอียดช่องโหว่
CVE-2025-0217 (คะแนน CVSS 7.3/10 ระดับความรุนแรง High) ช่องโหว่นี้เปิดช่องให้ผู้โจมตีที่มีสิทธิ์เข้าถึงเครื่องในระดับ Local สามารถเจาะระบบรักษาความปลอดภัยของเซสชัน ShellJump ที่กำลังทำงานอยู่ได้ โดยเฉพาะเมื่อเซสชันดังกล่าวถูกเปิดขึ้นผ่านเครื่องมือภายนอก ผู้โจมตีจะสามารถดึงข้อมูลรายละเอียดการเชื่อมต่อ และแทรกตัวเข้าควบคุมเซสชันนั้นได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์เพิ่มเติม ซึ่งถือเป็นความเสี่ยงร้ายแรง เนื่องจากอาจนำไปสู่การยึดครองเซสชันที่มีสิทธิ์ระดับสูง
เวอร์ชันที่ได้รับผลกระทบ
- BeyondTrust Privileged Remote Access ก่อนเวอร์ชัน 25.1
เวอร์ชันที่ได้รับการแก้ไข
- BeyondTrust Privileged Remote Access ตั้งแต่เวอร์ชัน 25.1 หรือใหม่กว่า
ผลกระทบจากช่องโหว่
การโจมตีช่องโหว่ CVE-2025-0217 ใน BeyondTrust PRA อนุญาตให้ผู้โจมตีที่มีสิทธิ์ภายในเครื่องเข้าถึงและยึดครอง ShellJump session โดยไม่ต้องผ่านการยืนยันตัวตน เสี่ยงต่อการควบคุมระบบหรือข้อมูลสำคัญโดยไม่ได้รับอนุญาต กระทบต่อความมั่นคงของระบบและการดำเนินงานขององค์กรในภาพรวม
คำแนะนำ
- อัปเดต BeyondTrust Privileged Remote Access เป็นเวอร์ชันที่ไม่ได้รับผลกระทบหรือใหม่ล่าสุด
- จำกัดสิทธิ์ผู้ใช้งานภายในเครื่อง โดยเฉพาะบัญชีที่สามารถเข้าถึงระบบ PRA
- ลดจำนวนผู้ใช้งานที่มีสิทธิ์ Local Access ในเครื่องที่ติดตั้ง PRA โดยใช้หลัก Least Privilege
- ตรวจสอบ Session Token หรือการตั้งค่าการเชื่อมต่อที่อาจถูกเปลี่ยนแปลง
- ตั้งเงื่อนไขแจ้งเตือนเมื่อมีการเข้าถึง session โดยผู้ใช้งานที่ไม่มีสิทธิ์ตามปกติ
แหล่งอ้างอิง
