BeyondTrust

記事はBeyondTrustの声明により更新された。

特権アクセス管理企業のBeyondTrustは12月上旬、同社のリモートサポートSaaSインスタンスの一部に脅威者が侵入し、サイバー攻撃を受けた。

BeyondTrust社は、特権アクセス管理(PAM)と安全なリモートアクセス・ソリューションを専門とするサイバーセキュリティ企業である。同社の製品は、政府機関、ハイテク企業、小売・電子商取引事業者、医療機関、エネルギー・公共サービス・プロバイダー、銀行部門で使用されている。

同社によると、2024年12月2日、同社のネットワーク上で「異常な行動」を検知した。最初の調査で、脅威者が同社のリモートサポートSaaSインスタンスの一部を侵害したことが確認された。

さらに調査を進めた結果、ハッカーがリモート・サポートSaaSのAPIキーにアクセスし、ローカル・アプリケーション・アカウントのパスワードをリセットできるようにしていたことが判明した。

「BeyondTrustは、限られた数のリモート・サポートSaaSの顧客を巻き込んだセキュリティ・インシデントを特定しました

「2024年12月5日、リモートサポートSaaSの問題の根本原因分析により、リモートサポートSaaSのAPIキーが侵害されていることが判明しました。

“BeyondTrustは直ちにAPIキーを失効させ、影響を受けた顧客に通知し、同日中にこれらのインスタンスを一時停止し、これらの顧客に代替のリモートサポートSaaSインスタンスを提供しました。”

脅威者が侵害されたリモートサポートSaaSインスタンスを使用して、下流の顧客に侵入できたかどうかは不明である。

重大な脆弱性が発見される

この攻撃に関する調査の一環として、同社は12月16日と18日に2つの脆弱性を発見した。

1つ目の脆弱性は、CVE-2024-12356として追跡されており、リモートサポート(RS)および特権リモートアクセス(PRA)製品に影響を与えるコマンドインジェクションの重大な欠陥である。

「この脆弱性の悪用に成功すると、認証されていないリモートの攻撃者が、サイト・ユーザーのコンテキスト内で基本的なオペレーティング・システム・コマンドを実行できるようになります。

2つ目の問題は、CVE-2024-12686として追跡されているもので、同じ製品における中程度の深刻度の脆弱性であり、管理者権限を持つ攻撃者がコマンドを注入したり、ターゲット上に悪意のあるファイルをアップロードしたりすることを可能にする。

明確には言及されていませんが、ハッカーがBeyondTrustのシステムにアクセスするためのゼロデイとして、あるいは顧客に到達するための攻撃チェーンの一部として、この2つの欠陥を活用した可能性があります。

しかし、ビヨンドトラストはいずれの勧告においても、これらの欠陥が積極的に悪用されているとは記していない。

BeyondTrustは、すべてのクラウドインスタンスに2つの欠陥に対するパッチを自動的に適用したが、セルフホストインスタンスを運用している場合は、セキュリティアップデートを手動で適用する必要があるとしている。

最後に、同社はセキュリティ・インシデントに関する調査が進行中であり、詳細な情報が入り次第、同社のページで最新情報を提供すると述べている。

BeyondTrustは、この脆弱性はランサムウェアの展開には利用されておらず、調査はまだ継続中であると述べた。

「現時点では、ランサムウェアに遭遇した例はありません。私たちの調査は進行中であり、独立した第三者のサイバーセキュリティ企業と協力して徹底的な調査を続けています」とBeyondTrustは語った。

「現時点では、BeyondTrustは、クラウドとセルフホスティングの両方のすべての顧客インスタンスが完全に更新され、安全であることを確認することに重点を置いています。私たちの最優先事項は、影響を受けた限られた数のお客様をサポートし、お客様の環境を保護することです。調査の進捗状況に応じて、当社のウェブサイトを通じて定期的に最新情報を提供し続けます。

この欠陥が悪用されてリモート・サポートSaaSインスタンスに侵入されたかどうかについての我々の質問には答えておらず、追加のフォローアップ質問も送っていない。

しかし、CISAは現在、CVE-2024-12356が攻撃で悪用されたとしているが、それ以上の詳細は明らかにしていない。