BeyondTrust Remote Support 및 PRA 인증 우회 패치


요약
BeyondTrust가 Remote Support와 Privileged Remote Access(PRA)의 critical 인증 우회 취약점을 패치했다. 공개일은 2026-07-07이며, 공개 기사에서 취약점은 pre-auth 조건의 auth bypass로 설명된다.
공개 자료에서 CVE 번호, 취약 엔드포인트, 파라미터, patch diff, PoC 요청 흐름은 확인되지 않는다. 따라서 분석의 중심은 특정 payload가 아니라 노출 장비 식별, 패치 적용, 인증 이벤트와 관리 기능 접근 사이의 불일치 탐지다.
| 항목 | 내용 |
|---|---|
| 공개일 | 2026-07-07 |
| 제품 | BeyondTrust Remote Support, BeyondTrust Privileged Remote Access |
| 취약점 유형 | 인증 우회 |
| 인증 조건 | pre-auth |
| 심각도 | critical로 보도 |
| 패치 상태 | BeyondTrust 패치 배포 |
| 코드 수준 자료 | 공개 기사에서 PoC, patch diff, 취약 함수 미확인 |
원격지원 장비의 인증 경계
Remote Support와 PRA는 외부 사용자, 지원 담당자, 관리자, 내부 자산 사이의 접근 경계를 다룬다. pre-auth 인증 우회가 성립하면 정상 계정 없이 관리 기능이나 세션 제어면에 접근할 수 있는 경로가 생길 수 있다.
영향 범위
영향 제품은 BeyondTrust Remote Support와 BeyondTrust Privileged Remote Access다. 두 제품 모두 원격지원 세션, privileged access workflow, 내부 엔드포인트 접근을 중계하는 장비로 배치되는 경우가 많다.
공개 기사만으로는 취약 버전 범위, URL 경로, API 메서드, 세션 토큰 검증 로직, 우회 가능한 역할 범위를 특정할 수 없다. RCE, 파일 쓰기, 명령 실행 같은 exploit primitive도 확인되지 않는다.
| 관점 | 확인 대상 |
|---|---|
| 노출면 | 인터넷에 직접 노출된 Remote Support/PRA 포털 |
| 버전 | BeyondTrust가 패치한 빌드 미만 여부 |
| 인증 흐름 | 로그인 성공 없이 관리 기능 접근이 발생했는지 |
| 계정 변경 | 신규 관리자 생성, role 변경, 비활성 계정 재활성화 |
| 세션 | 외부 IP에서 시작된 원격지원 또는 privileged access 세션 |
| 연동 | SSO, LDAP, AD, credential vault 연동 계정의 이상 행위 |
공격 흐름
공개 자료에서 확인되는 핵심은 pre-auth auth bypass와 Remote Support/PRA 영향이다. 세부 exploit chain은 공개되지 않았으므로 특정 endpoint나 parameter 기반 탐지로 좁히기 어렵다.
재현형 관점의 흐름은 요약 수준에서만 정리할 수 있다.
- 공격자가 인터넷에 노출된 Remote Support 또는 PRA 장비를 식별한다.
- 취약한 빌드라면 인증 경계 우회를 시도한다.
- 우회가 성공하면 관리 기능, 세션 제어, privileged access workflow 같은 기능면 접근이 가능해질 수 있다.
- 이후 흔적은 신규 계정, 권한 변경, 비정상 세션 생성, 내부 자산 접근 이력으로 남을 가능성이 높다.
탐지 포인트
네트워크
인터넷 노출 장비를 먼저 좁힌다. 제품명이 호스트명, 인증 페이지, TLS 인증서, reverse proxy 로그에 남는 환경이면 해당 값을 기준으로 스코프를 만든다.
index=web sourcetype IN ("proxy:*", "web:*", "nginx:*", "iis:*")
(host="*beyondtrust*" OR host="*bomgar*" OR url="*beyondtrust*" OR url="*bomgar*" OR url="*pra*")
| stats count min(_time) as first_seen max(_time) as last_seen by src_ip host url status user_agent
| convert ctime(first_seen) ctime(last_seen)
| sort - count
엔드포인트
취약 endpoint가 공개되지 않았기 때문에 URL 문자열 하나로 탐지하지 않는다. 인증 성공 이벤트 없이 관리성 경로 접근이 발생했는지 본다.
let AdminAccess =
WebLogs
| where Host has_any ("bomgar", "beyondtrust", "pra")
| where UrlPath has_any ("admin", "login", "api", "session", "jump", "rep")
| project TimeGenerated, SrcIp, UserAgent, Host, UrlPath, StatusCode;
let AuthSuccess =
AuthLogs
| where Product has "BeyondTrust"
| where EventType in ("LoginSuccess", "AdminLogin")
| project AuthTime=TimeGenerated, SrcIp, Account;
AdminAccess
| join kind=leftouter AuthSuccess on SrcIp
| where isempty(Account) or TimeGenerated < AuthTime - 10m or TimeGenerated > AuthTime + 10m
| summarize count(), paths=make_set(UrlPath, 20) by SrcIp, UserAgent, Host, bin(TimeGenerated, 1h)
| order by TimeGenerated desc
서버
제품 감사 로그에서는 로그인보다 이후 관리 행위가 더 중요하다. 신규 계정, role 변경, 세션 생성, privileged access 시작 이벤트를 같은 시간대의 웹 접근 로그와 맞춘다.
index=security sourcetype=beyondtrust*
(
action="admin_login"
OR action="session_created"
OR action="user_created"
OR action="role_changed"
OR action="privileged_access_started"
)
| stats min(_time) as first_seen max(_time) as last_seen count by src_ip user action appliance host
| convert ctime(first_seen) ctime(last_seen)
| sort - count
대응
패치 적용 대상은 Remote Support와 PRA 장비 전체다. 인터넷에 직접 노출된 운영 장비를 먼저 처리하고, 테스트 장비와 DR 장비도 같은 기준으로 확인한다.
| 대응 항목 | 확인 내용 |
|---|---|
| 자산 식별 | Remote Support, PRA, 테스트, DR 장비 포함 |
| 패치 확인 | 벤더가 배포한 패치 적용 여부 |
| 노출 제한 | 관리 인터페이스의 인터넷 직접 노출 제거 또는 접근 제어 |
| 로그 보존 | 웹 접근 로그, 제품 감사 로그, 인증 로그 확보 |
| 계정 점검 | 신규 관리자, role 변경, 비활성 계정 재활성화 |
| 세션 점검 | 외부 IP에서 시작된 세션과 내부 자산 접근 이력 |
| 연동 점검 | SSO, LDAP, AD, credential vault 연동 계정의 이상 행위 |
패치 후에도 패치 전 접근 흔적은 별도로 확인해야 한다. auth bypass 계열 취약점은 정상 로그인 이벤트가 비어 있는 상태에서 관리 기능 접근이나 세션 생성 흔적이 남을 수 있다.
참고 자료
BeyondTrust Patches Critical Auth Bypass Flaws in Remote Support and PRA