Krytyczne podatności zero-day w aplikacji BeyondTrust Remote Support

Firma poinformowała, że ​​naruszenie dotyczyło 17 klientów Remote Support SaaS, a klucz API został użyty do umożliwienia zdobycia nieautoryzowanego dostępu poprzez zresetowanie haseł aplikacji lokalnych. Atak został po raz pierwszy zgłoszony 5 grudnia 2024 r.

Dochodzenie wykazało, że luka zero-day w aplikacji innej firmy została wykorzystana w celu uzyskania dostępu do zasobu online na koncie BeyondTrust AWS. Dostęp do tego zasobu umożliwił następnie atakującemu uzyskanie klucza API infrastruktury, który mógł zostać wykorzystany przeciwko oddzielnemu kontu AWS, obsługującemu infrastrukturę Remote Support. Podatności oznaczone jako krytyczne oraz wysokie o numerach CVE-2024-12356 i CVE-2024-12686 zostały już załatane.

W odpowiedzi na początkowe zgłoszenie BeyondTrust zainicjowało swój proces reagowania na incydenty bezpieczeństwa i podjęło działania, w tym:

• natychmiast wycofało naruszony klucz API,
• zawiesiło i poddało kwarantannie wszystkie dane klientów dotknięte incydentem,
• powiadomiło poszkodowanych klientów i współpracowało z nimi w celu zapewnienia alternatywnych instancji Remote Support SaaS,
• zaangażowało uznaną zewnętrzną firmę zajmującą się cyberbezpieczeństwem i informatyką śledczą do pomocy w dochodzeniu,
• skontaktowało się z federalnymi organami ścigania, z którymi nadal wymienia się informacjami.

Dochodzenie śledcze jest już zakończone i nie zidentyfikowało żadnego nieautoryzowanego dostępu do instancji Remote Support SaaS od początku grudnia 2024 r. Zostało to potwierdzone przez wiodącego zewnętrznego dostawcę usług śledczych, który nadal skanuje środowisko BeyondTrust w poszukiwaniu jakichkolwiek wskaźników naruszenia lub innych oznak aktywności podmiotu atakującego. Wszyscy dotknięci incydentem klienci zostali poinformowani i nadal współpracują z wieloma organami.

BeyondTrust nie podało nazwy aplikacji, która została wykorzystana do uzyskania klucza API, ale stwierdziło, że ​​dochodzenie ujawniło dwie oddzielne luki w jego produktach: CVE-2024-12356 i CVE-2024-12686. Warto zauważyć, że Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury Stanów Zjednoczonych (CISA) dodała zarówno CVE-2024-12356, jak i CVE-2024-12686 do swojego katalogu znanych wykorzystanych luk (KEV), powołując się na dowody aktywnej eksploitacji w środowisku naturalnym. Dokładne szczegóły złośliwej aktywności nie są obecnie znane

Cały szum wokół tematu pojawił się po tym, gdy Departament Skarbu Stanów Zjednoczonych stwierdził, że był jedną ze stron dotkniętych atakiem. Z tego co wiemy, inne zaatakowane podmioty pochodzą z branży komercyjnej.

Ataki przypisuje się powiązanej z Chinami grupie hakerów o nazwie Silk Typhoon (dawniej Hafnium). Dodatkowo agencja CISA nałożyła sankcje na cyberprzestępcę z siedzibą w Szanghaju o nazwisku Yin Kecheng za jego domniemany udział we włamaniu do sieci biur Departamentu Skarbu.