A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA), na última segunda-feira, adicionou uma segunda falha de segurança que afeta os produtos BeyondTrust de Acesso Remoto Privilegiado (PRA) e Suporte Remoto (RS) ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), citando evidências de exploração ativa no meio digital.
A vulnerabilidade em questão é a
CVE-2024-12686
(pontuação CVSS: 6.6), uma falha de gravidade média que poderia permitir a um atacante com privilégios administrativos existentes injetar comandos e executar como um usuário do site.
"O Acesso Remoto Privilegiado (PRA) e o Suporte Remoto (RS) da BeyondTrust contêm uma vulnerabilidade de injeção de comando OS que pode ser explorada por um atacante com privilégios administrativos existentes para fazer o upload de um arquivo malicioso", disse a CISA.
A exploração bem-sucedida dessa vulnerabilidade pode permitir a um atacante remoto executar comandos do sistema operacional subjacente no contexto do usuário do site.
A adição da
CVE-2024-12686
ao catálogo KEV ocorre quase um mês após a adição de outra falha de segurança crítica que afeta o mesmo produto (
CVE-2024-12356
, pontuação CVSS: 9.8), que também poderia levar à execução de comandos arbitrários.
A BeyondTrust afirmou que ambas as vulnerabilidades foram descobertas como parte de sua investigação sobre um incidente cibernético no início de dezembro de 2024, que envolveu atores maliciosos aproveitando uma chave de API de Suporte Remoto SaaS comprometida para violar algumas das instâncias e redefinir senhas para contas de aplicativos locais.
Embora a chave da API tenha sido revogada desde então, a maneira exata de como a chave foi comprometida permanece desconhecida até o momento.
Suspeita-se que os atores de ameaças exploraram as duas falhas como zero-days para invadir os sistemas da BeyondTrust.
No início deste mês, o Departamento do Tesouro dos EUA revelou que sua rede foi violada usando a chave de API comprometida em um episódio descrito como um "grave incidente de cibersegurança".
O hack foi atribuído a um grupo patrocinado pelo estado chinês chamado Silk Typhoon (conhecido também como Hafnium).
Acredita-se que os atores de ameaças tenham como alvo específico o Escritório de Controle de Ativos Estrangeiros (OFAC), o Escritório de Pesquisa Financeira e o Comitê de Investimento Estrangeiro nos Estados Unidos (CFIUS), de acordo com múltiplos relatos do Washington Post e da CNN.
Também foi adicionada ao catálogo KEV uma vulnerabilidade de segurança crítica agora corrigida que afeta o Qlik Sense (
CVE-2023-48365
, pontuação CVSS: 9.9) que permite a um atacante escalar privilégios e executar solicitações HTTP no servidor backend que hospeda o software.
Vale destacar que a falha de segurança foi ativamente explorada no passado pelo grupo ransomware Cactus.
As agências federais são obrigadas a aplicar os patches necessários até 3 de fevereiro de 2024, para proteger suas redes contra ameaças ativas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...