Nova Otkrivenja o BeyondTrust Ranljivostima: CISA Upozorava na Važnost Patchiranja
Agencija za kibernetsku sigurnost i sigurnost infrastrukture Sjedinjenih Američkih Država (CISA) nedavno je dodala dva nova BeyondTrust bug-a u svoj katalog poznatih iskorištenih ranjivosti (KEV). Ova odluka ukazuje na to da su ove ranjivosti iskoristili zlonamjerni akteri u stvarnom svijetu, što usmjerava savezne agencije da hitno zakrpe softver ili prestanu koristiti te usluge.
Kontekst i Povijest
U prosincu 2024. godine, BeyondTrust je potvrdio da su postali žrtvom kibernetskog napada koji je otkrio kompromitacije nekih njihovih slučajeva Remote Support SaaS. Istraživanje nakon napada otkrilo je dva ključna buga, no tvrtka je brzo reagirala i zakrpila ih. Ove ranjivosti su označene kao CVE-2024-12686 i CVE-2024-12356.
Detalji o Ranjivostima
Prva ranjivost, CVE-2024-12686, je srednje ozbiljna ranjivost s ocjenom 6.6 koja se odnosi na Privileged Remote Access (PRA) i Remote Support (RS). Omogućuje zlonamjernim osobama s postojećim administratorskim privilegijama da injektiraju komande i djeluju kao korisnik na stranici.
Druga ranjivost, CVE-2024-12356, označena je kao kritična s ocjenom 9.8. Ova ranjivost omogućava neautentificiranih napadača da injektiraju komande koje se izvršavaju kao korisnik na stranici. Ranjivost CVE-2024-12356 dodana je u KEV 19. prosinca, dok je CVE-2024-12686 dodana 13. siječnja. To znači da su korisnici imali rok do 9. siječnja da riješe prvu ranjivost, a rok do 3. veljače 2025. da se suoče s drugom ranjivošću.
Kontekst Kibernetskih Napada
Ove vijesti dolaze usred informacija o napadu na Ministarstvo financija SAD-a u ranom siječnju 2025. godine. Napadači, za koje se vjeruje da su članovi Silk Typhoon, poznate grupe za kibernetsku špijunažu koja navodno djeluje u suradnji s kineskom vladom, koristili su ukradeni Remote Support SaaS API ključ kako bi kompromitirali jedan od BeyondTrust instanci. Silk Typhoon je poznat po ciljanju više od 68,500 servera u prvim mjesecima 2021. koristeći Microsoft Exchange Server ProxyLogon nultu dnevnu ranjivost.
Šire Umrežavanje Kibernetskih Grupa
Silk Typhoon je samo jedan od mnogih “Typhoon” grupa, a povezani su i s drugim grupama poput Volt Typhoon, Salt Typhoon, Flax Typhoon i Brass Typhoon. Nedavno je Salt Typhoon bio povezan s više visokoprofilnih povreda sigurnosti, uključujući najmanje četiri velika američka telekom operatera.
Završna Riječ
Postojeće ranjivosti u systému BeyondTrust ozbiljno ugrožavaju sigurnost korisnika. Kroz brzinu i odlučnost u patchiranju ove ranjivosti, korisnici mogu smanjiti rizik i osigurati svoje digitalne resurse. Izuzetno je važno pratiti ažuriranja i preporuke agencija za kibernetsku sigurnost kao što je CISA kako bi se zaštitili od potencijalnih napada.
