A BeyondTrust revelou que concluiu uma investigação sobre um recente incidente de cibersegurança que visou algumas das instâncias SaaS de Suporte Remoto da empresa, utilizando uma chave API comprometida.
A empresa disse que o ataque envolveu 17 clientes do Suporte Remoto SaaS e que a chave API foi usada para permitir o acesso não autorizado, redefinindo senhas de aplicações locais.
O ataque foi inicialmente identificado em 5 de dezembro de 2024.
"A investigação determinou que uma vulnerabilidade zero-day de uma aplicação de terceiros foi usada para ganhar acesso a um ativo online em uma conta AWS da BeyondTrust", disse a empresa esta semana.
O acesso a esse ativo permitiu então que o ator de ameaças obtivesse uma chave API de infraestrutura que poderia então ser utilizada contra uma conta AWS separada que operava a infraestrutura de Suporte Remoto.
A empresa americana de gerenciamento de acesso não nomeou a aplicação que foi explorada para obter a chave API, mas disse que a investigação descobriu duas falhas separadas em seus próprios produtos (
CVE-2024-12356
e
CVE-2024-12686
).
A BeyondTrust desde então revogou a chave API comprometida e suspendeu todas as instâncias de clientes afetados conhecidas, ao mesmo tempo em que as forneceu com instâncias alternativas de Suporte Remoto SaaS.
Vale ressaltar que a Agência de Cibersegurança e Segurança de Infraestruturas dos EUA (CISA) adicionou tanto o
CVE-2024-12356
quanto o
CVE-2024-12686
ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), citando evidências de exploração ativa em ambiente não controlado.
Os detalhes exatos da atividade maliciosa presentemente não são conhecidos.
O desenvolvimento vem à medida que o Departamento do Tesouro dos EUA disse que foi uma das partes afetadas.
Não há avaliação de que outras agências federais tenham sido impactadas.
Os ataques foram atribuídos a um grupo de hackers ligado à China chamado Silk Typhoon (anteriormente Hafnium), com a agência impondo sanções contra um ator cibernético baseado em Xangai denominado Yin Kecheng por seu suposto envolvimento no ataque à rede de Departamentos do Tesouro.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...