CISA a identificat o vulnerabilitate de injectare de comandă (CVE-2024-12686) în BeyondTrust’s Privileged Remote Access (PRA) și Remote Support (RS) ca fiind exploatată activ în atacuri.
Conform Directivei Operaționale Obligatorii (BOD) 22-01, după ce a fost adăugată în catalogul CISA Known Exploited Vulnerabilities, agențiile federale americane trebuie să-și securizeze rețelele împotriva atacurilor în curs care vizează această vulnerabilitate în termen de trei săptămâni până la 3 februarie.
Pe 19 decembrie, agenția de securitate cibernetică a SUA a adăugat și o vulnerabilitate critică de securitate prin injectare de comandă (CVE-2024-12356) în aceleași produse software BeyondTrust.
BeyondTrust a descoperit ambele vulnerabilități în timp ce investiga breșa unora dintre instanțele sale Remote Support SaaS la începutul lunii decembrie. Atacatorii au furat o cheie API, pe care ulterior au folosit-o pentru a reseta parolele pentru conturile aplicațiilor locale.
Deși divulgarea din decembrie a BeyondTrust nu a menționat în mod explicit acest lucru, este probabil ca actorii amenințării să fi exploatat cele două vulnerabilități ca zero days pentru a pătrunde în sistemele BeyondTrust și a ajunge la clienții săi.
La începutul lunii ianuarie, Departamentul Trezoreriei a dezvăluit că rețeaua sa a fost compromisă de atacatori care au folosit o cheie API furată de Remote Support SaaS pentru a compromite o instanță BeyondTrust utilizată de agenție.
De atunci, atacul a fost legat de hackerii sprijiniți de statul chinez cunoscuți sub numele de Silk Typhoon. Acest grup de ciberspionaj, cunoscut pentru atacuri de recunoaștere și furt de date, a devenit cunoscut pe scară largă după ce a compromis aproximativ 68,500 de servere la începutul anului 2021 folosind zero days pe Microsoft Exchange Server ProxyLogon.
Actorii amenințării au vizat în mod specific Biroul Controlului Activelor Străine (OFAC), care administrează programele de sancțiuni comerciale și economice, și Comitetul pentru Investiții Străine în Statele Unite (CFIUS), care examinează investițiile străine pentru riscuri de securitate națională.
De asemenea, aceștia au spart sistemele Biroului de Cercetare Financiară al Trezoreriei, dar impactul acestui incident este încă evaluat. Se crede că Silk Typhoon a folosit cheia digitală BeyondTrust furată pentru a accesa „informații neclasificate referitoare la acțiuni potențiale de sancțiune și alte documente”.
BeyondTrust afirmă că a aplicat patch-uri de securitate pentru vulnerabilitățile CVE-2024-12686 și CVE-2024-12356 pe toate instanțele cloud. Cu toate acestea, cei care rulează instanțe auto-găzduite trebuie să implementeze manual patch-urile.
Compania nu a marcat încă cele două vulnerabilități de securitate ca fiind exploatate activ în avertizările de securitate emise luna trecută.
CISA avertizează cu privire la vulnerabilitățile critice Oracle, Mitel exploatate în atacuri
CISA spune că recenta spargere a guvernului este limitată la Trezoreria SUA
Departamentul Trezoreriei al SUA a fost compromis printr-o platformă de suport la distanță
Bug-ul kernelului Windows este acum exploatat în atacuri pentru a obține privilegii de SISTEM
CISA confirmă exploatarea critică a bug-ului Cleo în atacuri de ransomware
Leave a Reply