Luka umożliwiająca wstrzyknięcie poleceń
CVE-2024-12686 to luka w zabezpieczeniach, która umożliwia wstrzykiwanie poleceń w systemy BeyondTrust Privileged Remote Access (PRA) oraz Remote Support (RS). Ta podatność została uznana przez CISA za aktywnie wykorzystywaną w atakach, co obliguje agencje federalne do załatania swoich systemów do 3 lutego 2025 roku. Podjęte działania wynikają z Wiążącej Dyrektywy Operacyjnej (BOD) 22-01, która nakłada obowiązek szybkiego reagowania na znane luki w zabezpieczeniach.
Dodatkowo, 19 grudnia 2024 roku, CISA zaktualizowała katalog o kolejną poważną lukę — CVE-2024-12356. Podobnie jak pierwsza podatność, umożliwia ona wstrzykiwanie poleceń w systemy BeyondTrust. Obie luki zostały odkryte podczas śledztwa prowadzonego przez BeyondTrust w związku z naruszeniem bezpieczeństwa ich instancji SaaS na początku grudnia.
Atak na Departament Skarbu i rola Silk Typhoon
Cyberprzestępcy wykorzystali skradziony klucz API BeyondTrust, aby zyskać dostęp do lokalnych kont aplikacji. Według ustaleń, jednym z celów ataku było Biuro Kontroli Aktywów Zagranicznych (OFAC) oraz Komitet ds. Inwestycji Zagranicznych w Stanach Zjednoczonych (CFIUS). Te instytucje zajmują się zarządzaniem sankcjami handlowymi oraz przeglądem inwestycji zagranicznych pod kątem bezpieczeństwa narodowego.
Ataki zostały powiązane z chińską grupą hakerską Silk Typhoon, znaną z wcześniejszych kampanii cyberszpiegowskich. Silk Typhoon zasłynął w 2021 roku, gdy przy użyciu podatności ProxyLogon w Microsoft Exchange Server uzyskał dostęp do tysięcy serwerów na całym świecie. Obecnie ta grupa wykorzystuje luki w BeyondTrust, aby uzyskać dostęp do poufnych informacji w amerykańskich instytucjach.
Jednym z najpoważniejszych skutków niedawnego ataku było naruszenie systemów Biura Badań Finansowych Skarbu Państwa. Hakerzy uzyskali dostęp do dokumentów zawierających informacje na temat potencjalnych sankcji oraz działań podejmowanych przez władze USA. Skala incydentu jest nadal oceniana przez ekspertów ds. bezpieczeństwa.
Reakcja BeyondTrust i dalsze kroki
Firma BeyondTrust zareagowała na odkryte luki, wprowadzając odpowiednie poprawki bezpieczeństwa dla swoich instancji w chmurze. Jednak użytkownicy korzystający z wersji hostowanych lokalnie muszą samodzielnie wdrożyć aktualizacje, aby zabezpieczyć swoje systemy.
Pomimo szybkiej reakcji, BeyondTrust nie oznaczył jeszcze tych podatności jako aktywnie wykorzystywanych w swoich poradnikach bezpieczeństwa. Eksperci podkreślają, że zbagatelizowanie tego faktu może prowadzić do kolejnych incydentów związanych z niezałatanymi systemami.
CISA apeluje do wszystkich instytucji i firm korzystających z BeyondTrust o jak najszybsze załatanie wykrytych luk. W przeciwnym razie ryzykują one poważne naruszenia danych oraz utratę poufnych informacji. W obliczu rosnącego zagrożenia ze strony państwowych grup hakerskich, odpowiednie zabezpieczenie systemów staje się priorytetem dla każdej organizacji.
