به گزارش BeyondTrust، یک آسیب پذیری روز صفر، موجب افشای اطلاعات 17 مشتری سرویس SaaS این شرکت به دلیل دسترسی غیرمجاز به یک کلید API هک شده گشته است. این نفوذ که به گروه هکری Silk Typhoon نسبت داده شده، اولین بار در تاریخ پنجم دسامبر 2024 شناسایی گردید.
مهاجمان در این حمله، از یک آسیب پذیری روز صفر در یک برنامه شخص ثالث استفاده کردهاند تا به حساب AWS شرکت BeyondTrust دسترسی پیدا کنند. این دسترسی به آنها اجازه داد تا یک کلید API زیرساختی را بهدست آورند. کلید API بهطور معمول برای مدیریت و دسترسی به زیرساختها و منابع سیستم استفاده میشود.
مهاجمان پس از بهدست آوردن این کلید API، توانستند به سیستمهای BeyondTrust نفوذ نمایند و به دادههای 17 مشتری سرویس پشتیبانی از راه دور SaaS این شرکت دسترسی غیرمجاز پیدا کنند. آنها از این دسترسی برای بازنشانی گذرواژههای اپلیکیشنهای لوکال مشتریان آسیب پذیر استفاده کردند، به این معنا که مهاجمان میتوانستند کنترل بیشتری بر روی سیستمها و دادههای این مشتریان داشته باشند.
BeyondTrust پس از شناسایی این نفوذ، کلید API هک شده را لغو کرد و تمامی نمونههای آسیب پذیر مشتریان را تعلیق نمود و نمونههای جایگزین سرویس پشتیبانی از راه دور SaaS را به این مشتریان ارائه کرد.
شرکت BeyondTrust نام برنامهای که برای بهدست آوردن کلید API مورد سوءاستفاده قرار گرفته است را اعلام نکرد، اما اذعان داشت که دو آسیب پذیری جداگانه را در محصولات خود شناسایی کرده است (CVE-2024-12356 و CVE-2024-12686).
- CVE-2024-12356: یک آسیب پذیری بحرانی که در محصولات Privileged Remote Access (PRA) و Remote Support (RS) شرکت BeyondTrust شناسایی شده است. این آسیب پذیری به مهاجمان بدون نیاز به احراز هویت اجازه میدهد تا دستورات سیستمعامل را بهعنوان کاربر سایت اجرا کنند و بهطور غیرمجاز به سیستمها و دادهها دسترسی یابند.
- CVE-2024-12686: یک آسیب پذیری با شدت متوسط است که در محصولات Privileged Remote Access (PRA) و Remote Support (RS) شرکت BeyondTrust شناسایی شده است. این آسیب پذیری به مهاجمان با دسترسی admin اجازه میدهد تا دستورات سیستمعامل را بهعنوان کاربر سایت اجرا کنند. این آسیب پذیری میتواند منجر به دسترسی غیرمجاز به دادهها و سیستمها شود که تهدیدی جدی برای امنیت زیرساختهای سازمانها بهشمار میآید.
شایان ذکر است که آژانس امنیت سایبری و زیرساختهای ایالات متحده (CISA) هر دو آسیب پذیری CVE-2024-12356 و CVE-2024-12686 را به لیست آسیب پذیریهای شناخته شده (KEV) خود اضافه کرد. شواهدی از اکسپلویت فعال این آسیب پذیریها وجود دارد. جزئیات دقیق فعالیتهای مخرب هنوز مشخص نیست.
وزارت خزانهداری ایالات متحده اعلام کرد که یکی از قربانیان این حمله سایبری بوده است. هنوز هیچکدام از دیگر نهادهای فدرال ارزیابی نکردهاند که آیا تحت تأثیر این نفوذ قرار گرفتهاند یا خیر.
این آژانس، تحریمهایی را علیه یک هکر مستقر در شانگهای به نام Yin Kecheng به دلیل نقش احتمالی او در نفوذ به شبکه دفاتر وزارت خزانهداری اعمال کرده است. این نفوذ، نشان دهنده یک تهدید جدی امنیتی است که میتواند به دادهها و اطلاعات حساس آسیب برساند.
