CISA は、BeyondTrust の Privileged Remote Access (PRA) および Remote Support (RS) におけるコマンド・インジェクションの脆弱性(CVE-2024-12686) を、攻撃において積極的に悪用されているとしてタグ付けしました。
拘束力のある運用指令(BOD)22-01で義務付けられているように、CISAの既知の悪用される脆弱性のカタログに追加された後、米国の連邦政府機関は2月3日までに3週間以内に、この欠陥を狙った進行中の攻撃からネットワークを保護しなければならない。
12月19日、米国のサイバーセキュリティ機関は、同じBeyondTrustソフトウェア製品に重大なコマンド・インジェクション・セキュリティ・バグ(CVE-2024-12356 )も追加した。
ビヨンドトラストは、12月上旬に同社のリモートサポートSaaSインスタンスの一部が侵害された事件を調査中に、両方の脆弱性を発見した。攻撃者はAPIキーを盗み、後にローカル・アプリケーション・アカウントのパスワードリセットに使用した。
BeyondTrustの12月の情報開示では明確に言及されていなかったが、脅威の主体は、顧客に到達するためにBeyondTrustのシステムにハッキングするゼロデイとして2つの欠陥を活用した可能性が高い。
1月上旬、財務省は、盗まれたリモートサポートSaaS APIキーを使用して、同省が使用するBeyondTrustインスタンスを侵害した攻撃者によって、同省のネットワークが侵害されたことを明らかにした。
それ以来、この攻撃はSilk Typhoonとして知られる中国国家に支援されたハッカーに関連している。偵察とデータ窃盗攻撃で知られるこのサイバースパイグループは、2021年初頭にMicrosoft Exchange ServerのProxyLogonゼロデイを使って 推定6万8500台のサーバーを侵害したことで広く知られるようになった。
脅威者は特に、貿易と経済制裁プログラムを管理する外国資産管理局(OFAC)と、国家安全保障上のリスクについて海外からの投資を審査する対米外国投資委員会(CFIUS )を標的としていた。
彼らは財務省の金融調査局のシステムにもハッキングしたが、この事件の影響はまだ評価中である。シルク・タイフーンは、盗んだBeyondTrustのデジタルキーを使って、”潜在的な制裁措置やその他の文書に関連する未分類の情報 “にアクセスしたと見られている。
BeyondTrustは、すべてのクラウドインスタンスにCVE-2024-12686とCVE-2024-12356の欠陥に対するセキュリティパッチを適用したという。ただし、セルフホスト型のインスタンスを運用している場合は、パッチを手動で適用する必要がある。
同社は先月発表したセキュリティ勧告で、この2つのセキュリティ脆弱性が積極的に悪用されているとまだマークしていない。
Comments