Η CISA έχει επισημάνει μια ευπάθεια ένεσης εντολής (CVE-2024-12686) στην Προνομιακή Απομακρυσμένη Πρόσβαση (PRA) και την Απομακρυσμένη Υποστήριξη (RS) της BeyondTrust όπως αξιοποιούνται ενεργά σε επιθέσεις.
Όπως ορίζεται από τη Δεσμευτική Επιχειρησιακή Οδηγία (ΔΣ) 22-01, μετά προστίθεται στον κατάλογο γνωστών εκμεταλλευόμενων ευπαθειών της CISA, οι ομοσπονδιακές υπηρεσίες των ΗΠΑ πρέπει να ασφαλίσουν τα δίκτυά τους από συνεχείς επιθέσεις που στοχεύουν το ελάττωμα εντός τριών εβδομάδων έως τις 3 Φεβρουαρίου.
Στις 19 Δεκεμβρίου, η υπηρεσία κυβερνοασφάλειας των ΗΠΑ προστέθηκε επίσης ένα κρίσιμο σφάλμα ασφαλείας ένεσης εντολών (CVE-2024-12356) στα ίδια προϊόντα λογισμικού BeyondTrust.
Η BeyondTrust εντόπισε και τις δύο ευπάθειες κατά τη διερεύνηση της παραβίασης ορισμένων από τις περιπτώσεις Remote Support SaaS της στις αρχές Δεκεμβρίου. Οι εισβολείς έκλεψαν ένα κλειδί API, το οποίο αργότερα χρησιμοποίησαν για να επαναφέρουν τους κωδικούς πρόσβασης για λογαριασμούς τοπικών εφαρμογών.
Ενώ η αποκάλυψη του Δεκεμβρίου του BeyondTrust δεν το ανέφερε ρητά, οι φορείς απειλών πιθανότατα χρησιμοποίησαν τα δύο ελαττώματα ως μηδέν ημέρες για να εισβάλουν στα συστήματα BeyondTrust για να προσεγγίσουν τους πελάτες του.
Στις αρχές Ιανουαρίου, το Υπουργείο Οικονομικών αποκάλυψε ότι το δίκτυό του παραβιάστηκε από εισβολείς που χρησιμοποίησαν ένα κλεμμένο κλειδί Remote Support SaaS API για να παραβιάσουν μια παρουσία BeyondTrust που χρησιμοποιούσε η υπηρεσία.
Από τότε, η επίθεση έγινε συνδέεται με κινεζικούς χάκερ που υποστηρίζονται από το κράτος γνωστός ως Silk Typhoon. Αυτή η ομάδα κυβερνοκατασκοπείας, γνωστή για επιθέσεις αναγνώρισης και κλοπής δεδομένων, έγινε ευρέως γνωστή μετά από συμβιβασμούς περίπου 68.500 διακομιστές στις αρχές του 2021 χρησιμοποιώντας το Microsoft Exchange Server ProxyLogon zero-days.
Οι παράγοντες της απειλής στόχευσαν ειδικά το Γραφείο Ελέγχου Ξένων Περιουσιακών Στοιχείων (OFAC), το οποίο διαχειρίζεται προγράμματα εμπορικών και οικονομικών κυρώσεων, και την Επιτροπή Ξένων Επενδύσεων στις Ηνωμένες Πολιτείες (CFIUS), η οποία εξετάζει τις ξένες επενδύσεις για κινδύνους εθνικής ασφάλειας.
Επίσης, εισέβαλαν στα συστήματα του Γραφείου Χρηματοοικονομικής Έρευνας του Υπουργείου Οικονομικών, αλλά ο αντίκτυπος αυτού του περιστατικού εξακολουθεί να αξιολογείται. Η Silk Typhoon πιστεύεται ότι χρησιμοποίησε το κλεμμένο ψηφιακό κλειδί BeyondTrust για πρόσβαση σε «μη διαβαθμισμένες πληροφορίες που σχετίζονται με πιθανές ενέργειες κυρώσεων και άλλα έγγραφα».
Η BeyondTrust λέει ότι εφάρμοσε ενημερώσεις κώδικα ασφαλείας για ελαττώματα CVE-2024-12686 και CVE-2024-12356 σε όλες τις παρουσίες cloud. Ωστόσο, εκείνες που εκτελούν αυτο-φιλοξενούμενες παρουσίες πρέπει να αναπτύξουν τις ενημερώσεις κώδικα με μη αυτόματο τρόπο.
Η εταιρεία δεν έχει ακόμη επισημάνει τις δύο ευπάθειες ασφαλείας ως αξιοποιημένες ενεργά στις συμβουλές ασφαλείας που εκδόθηκαν τον περασμένο μήνα.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
