Vulnérabilité critique dans BeyondTrust
Score CVSS :
8.6
Date de publication :
16/6/2025
Date de dernière mise à jour :
16/6/2025
.png)
Produits concernés
- Remote Support en versions 24.2.2 à 24.2.4, 24.3.1 à 24.3.3, et 25.1.1
- Privileged Remote Access en versions 24.2.2 à 24.2.4, 24.3.1 à 24.3.3, et 25.1.1
Prérequis
- Accès au chat de l’application web
- Visualisation du message malveillant par un administrateur
Risques
- Récupérer les informations sensibles sur les machines critiques
- Obtenir un accès interne au réseau de l’entreprise
Résumé
Une vulnérabilité critique impacte les produits Privileged Remote Access (PRA) et Remote Support (RS) de BeyondTrust.
Ces logiciels sont des points d’accès privilégiés et très sensibles ; en effet le produit Privileged Remote Access est un bastion d’administration qui permet la gestion des flux, des règles de sécurité et d’accès dans le système d’information. De plus, le produit Remote Support permet la gestion et l’accès à distance aux machines monitorées.
La CVE-2025-5309, ayant un score CVSS de 8.6, permet à un attaquant, non authentifié dans le cas de Remote Support, d’exécuter du code arbitraire sur les produits PRA et RS en envoyant un message malveillant dans le chat de l’application web, qui sera reçu puis automatiquement exécuté par les équipes IT.
Une compromission du produit Privileged Remote Access permettrait à un attaquant d’outrepasser toutes les mesures de sécurité et de filtrage, se connecter aux serveurs configurés sur l’outil, et ainsi avoir la possibilité d’exfiltrer des données sensibles, de récupérer d’autres comptes pour élever ses privilèges et se latéraliser, mais aussi de laisser des portes dérobées.
La compromission du produit Remote Support permettrait à un attaquant d’accéder à distance et de prendre le contrôle de tous les serveurs et postes de travail monitorés.
La faille n’est pas activement exploitée, un exploit en Proof of Concept est cependant disponible.
Etant donné le risque associé, nous préconisons de corriger cette vulnérabilité dans un délai de 7 jours maximum, notamment sur les actifs ouverts sur Internet.
Ces logiciels sont des points d’accès privilégiés et très sensibles ; en effet le produit Privileged Remote Access est un bastion d’administration qui permet la gestion des flux, des règles de sécurité et d’accès dans le système d’information. De plus, le produit Remote Support permet la gestion et l’accès à distance aux machines monitorées.
La CVE-2025-5309, ayant un score CVSS de 8.6, permet à un attaquant, non authentifié dans le cas de Remote Support, d’exécuter du code arbitraire sur les produits PRA et RS en envoyant un message malveillant dans le chat de l’application web, qui sera reçu puis automatiquement exécuté par les équipes IT.
Une compromission du produit Privileged Remote Access permettrait à un attaquant d’outrepasser toutes les mesures de sécurité et de filtrage, se connecter aux serveurs configurés sur l’outil, et ainsi avoir la possibilité d’exfiltrer des données sensibles, de récupérer d’autres comptes pour élever ses privilèges et se latéraliser, mais aussi de laisser des portes dérobées.
La compromission du produit Remote Support permettrait à un attaquant d’accéder à distance et de prendre le contrôle de tous les serveurs et postes de travail monitorés.
La faille n’est pas activement exploitée, un exploit en Proof of Concept est cependant disponible.
Etant donné le risque associé, nous préconisons de corriger cette vulnérabilité dans un délai de 7 jours maximum, notamment sur les actifs ouverts sur Internet.
Solutions
Remédiation :
Mettre à jour vers les versions ci-dessous
Remote Support : 24.2.2 à 24.2.4 avec le patch HELP-10826-2, 24.3.1 à 24.3.3 avec le patch HELP-10826-2, 24.3.4 et toutes les prochaines versions 24.3.x, 25.1.1 avec le patch HELP-10826-1
Privileged Remote Access : 24.2.2 à 24.2.4 avec le patch HELP-10826-2, 24.3.1 à 24.3.3 avec le patch HELP-10826-2, 25.1.1 avec le patch HELP-10826-1
Mitigation :
Pour Remote Support :
Sécuriser l’accès au chat :
Activer l’authentification SAML pour le portail public
Forcer l’utilisation d’un token de session :
- Activer l’option Forcer les tokens de session
- Désactiver la liste représentative
- Désactiver le questionnaire de soumission des problèmes
Restez informés des dernières menaces !
Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.
Merci pour votre inscription !
Oups ! Une erreur est survenue lors de l'envoi du formulaire.
