Compania de management al acceselor privilegiate, BeyondTrust, a suferit un atac cibernetic la începutul lunii decembrie, atunci când actorii de amenințare au compromis unele dintre instanțele lor Remote Support SaaS.
BeyondTrust este o companie de securitate cibernetică specializată în Managementul Acceselor Privilegiate (PAM) și soluții securizate de acces la distanță. Produsele lor sunt folosite de agenții guvernamentale, firme de tehnologie, entități din sectorul comerțului cu amănuntul și e-commerce, organizații din domeniul sănătății, furnizori de energie și utilități și sectorul bancar.
Compania a declarat că pe 2 decembrie 2024, a detectat „comportament anormal” în rețeaua sa. O investigație inițială a confirmat că actorii de amenințare au compromis unele dintre instanțele lor Remote Support SaaS.
După o investigație mai amănunțită, s-a descoperit că hackerii au obținut acces la o cheie API Remote Support SaaS care le-a permis să reseteze parolele pentru conturile aplicațiilor locale.
„BeyondTrust a identificat un incident de securitate care a implicat un număr limitat de clienți Remote Support SaaS,” se arată în anunț.
„Pe 5 decembrie 2024, o analiză a cauzelor profunde într-o problemă Remote Support SaaS a identificat o cheie API pentru Remote Support SaaS care fusese compromisă.”
„BeyondTrust a revocat imediat cheia API, a notificat clienții afectați cunoscuți și a suspendat acele instanțe în aceeași zi, oferind alternative pentru acești clienți.”
Este neclar dacă actorii de amenințare au reușit să folosească instanțele compromise Remote Support SaaS pentru a compromite clienții downstream.
Ca parte a investigației companiei asupra atacului, s-au descoperit două vulnerabilități, una pe 16 decembrie și cealaltă pe 18 decembrie.
Prima, denumită CVE-2024-12356, este o vulnerabilitate critică de injectare a comenzilor care afectează produsele Remote Support (RS) și Privileged Remote Access (PRA).
„Exploatarea cu succes a acestei vulnerabilități poate permite unui atacant remote neautentificat să execute comenzi de sistem de operare subiacent în contextul utilizatorului site-ului,” se arată în descrierea vulnerabilității.
A doua problemă, denumită CVE-2024-12686, este o vulnerabilitate de severitate medie în aceleași produse, permițând atacatorilor cu privilegii de admin să injecteze comenzi și să încarce fișiere malefice pe țintă.
Chiar dacă nu este menționat în mod explicit, este posibil ca hackerii să fi folosit cele două vulnerabilități ca zero days pentru a obține acces la sistemele BeyondTrust sau ca parte a lanțului lor de atacuri pentru a ajunge la clienți.
Cu toate acestea, BeyondTrust nu a marcat vulnerabilitățile ca fiind exploatate activ în nicio notificare.
BeyondTrust spune că au aplicat automat patch-urile pentru cele două vulnerabilități pe toate instanțele cloud, dar cei care rulează instanțe auto-găzduite trebuie să aplice manual actualizarea de securitate.
În cele din urmă, compania a menționat că investigațiile asupra incidentului de securitate sunt în curs, iar actualizări vor fi furnizate pe pagina lor atunci când vor deveni disponibile mai multe informații.
BleepingComputer a contactat BeyondTrust pentru mai multe informații despre incident, și vom actualiza această postare când vom primi un răspuns.
Leave a Reply