- CISA добавила две уязвимости, найденные в продуктах BeyondTrust
- Обе уязвимости были обнаружены «в диких условиях» в декабре 2024 года
- Федеральные агентства должны исправить уязвимости до 3 февраля 2025 года
Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) включило две недавно обнаруженные уязвимости в продуктах BeyondTrust в свой каталог известных эксплуатируемых уязвимостей (KEV). Это означает, что CISA нашло доказательства использования этих уязвимостей, и в связи с этим федеральным агентствам предписано устранить проблемы в программном обеспечении либо полностью прекратить его использование.
В конце декабря 2024 года BeyondTrust подтвердила проникновение в свои системы после обнаружения взлома некоторых своих экземпляров SaaS для удаленной поддержки. Проводимое расследование выявило две уязвимости, которые компания впоследствии устранила.
Атаки на Министерство финансов
Уязвимости идентифицированы как CVE-2024-12686 и CVE-2024-12356. Первая относится к категории среднего уровня угрозы и связана с удаленным доступом с привилегиями и удаленной поддержкой, позволяя злоумышленникам с административными правами выполнять команды от имени пользователя сайта. Вторая уязвимость имеет критический статус и может позволить неавторизованному нападающему выполнять команды подобным образом. Она получила рейтинг 9.8 по уровню угрозы.
CVE-2024-12356 была внесена в каталог KEV 19 декабря, а CVE-2024-12686 — 13 января. Это дало пользователям время до 9 января для устранения первой уязвимости и до 3 февраля 2025 года для устранения второй.
Новости об этом появились после того, как Министерство финансов США подверглось кибератаке в начале января 2025 года. Нападающими считают группу «Silk Typhoon», которую связывают с китайским правительством. Они использовали украденный API-ключ SaaS удаленной поддержки, что позволило им взломать инстанс BeyondTrust.
«Silk Typhoon» известна выбором цели в лице 68 500 серверов в начале 2021 года, используя уязвимости в Microsoft Exchange Server. Входит в более широкую сеть групп «Typhoon», таких как Volt Typhoon, Salt Typhoon и Flax Typhoon. Salt Typhoon недавно связывали с рядом резонансных нарушений безопасности, в том числе как минимум у четырех крупнейших телекоммуникационных операторов США.
Источник: TechRadar
