Ayrıcalıklı erişim yönetimi şirketi BeyondTrust, tehdit aktörlerinin Uzaktan Destek SaaS örneklerinden bazılarını ihlal etmesinden sonra Aralık ayı başında bir siber saldırıya uğradı.
BeyondTrust, Ayrıcalıklı Erişim Yönetimi (PAM) ve güvenli uzaktan erişim çözümlerinde uzmanlaşmış bir siber güvenlik şirketidir. Ürünleri devlet kurumları, teknoloji firmaları, perakende ve e-ticaret kuruluşları, sağlık kuruluşları, enerji ve kamu hizmeti sağlayıcıları ve bankacılık sektörü tarafından kullanılmaktadır.
Şirket öyle söylüyor 2 Aralık 2024’teağında “anormal davranış” tespit etti. İlk soruşturma, tehdit aktörlerinin Uzaktan Destek SaaS örneklerinden bazılarını tehlikeye attığını doğruladı.
Daha ayrıntılı bir incelemenin ardından bilgisayar korsanlarının, yerel uygulama hesaplarının parolalarını sıfırlamalarına olanak tanıyan Uzaktan Destek SaaS API anahtarına erişim elde ettikleri keşfedildi.
Duyuruda “BeyondTrust, sınırlı sayıda Uzaktan Destek SaaS müşterisini kapsayan bir güvenlik olayı tespit etti” ifadesi yer alıyor.
“5 Aralık 2024’te, Uzaktan Destek SaaS sorununa ilişkin temel neden analizi, Uzaktan Destek SaaS’a yönelik bir API anahtarının tehlikeye atıldığını tespit etti.”
“BeyondTrust, API anahtarını derhal iptal etti, etkilenen bilinen müşterileri bilgilendirdi ve bu müşterilere alternatif Uzaktan Destek SaaS örnekleri sağlarken aynı gün bu örnekleri askıya aldı.”
Tehdit aktörlerinin ele geçirilen Uzaktan Destek SaaS örneklerini alt müşterilere sızmak için kullanıp kullanamayacakları belirsiz.
Kritik güvenlik açığı keşfedildi
Şirketin saldırıyla ilgili araştırması kapsamında biri 16 Aralık’ta, diğeri 18 Aralık’ta olmak üzere iki güvenlik açığı tespit edildi.
CVE-2024-12356 olarak takip edilen ilki, Uzaktan Destek (RS) ve Ayrıcalıklı Uzaktan Erişim (PRA) ürünlerini etkileyen kritik bir komut ekleme hatasıdır.
Kusurun açıklamasında “Bu güvenlik açığının başarılı bir şekilde kullanılması, kimliği doğrulanmamış uzaktaki bir saldırganın site kullanıcısı bağlamında temel işletim sistemi komutlarını yürütmesine olanak tanıyabilir” ifadesi yer alıyor.
CVE-2024-12686 olarak takip edilen ikinci sorun, aynı ürünlerdeki orta şiddette bir güvenlik açığıdır ve yönetici ayrıcalıklarına sahip saldırganların hedefe komutlar enjekte etmesine ve kötü amaçlı dosyalar yüklemesine olanak tanır.
Açıkça belirtilmese de, bilgisayar korsanlarının BeyondTrust sistemlerine erişim sağlamak için sıfır gün olarak veya müşterilere ulaşmak için saldırı zincirlerinin bir parçası olarak iki kusurdan yararlanmış olmaları mümkündür.
Ancak BeyondTrust, her iki danışma belgesinde de kusurların aktif olarak kullanıldığı şeklinde işaretlemedi.
BeyondTrust, tüm bulut bulut sunucularındaki iki kusur için yamaları otomatik olarak uyguladıklarını ancak kendi kendine barındırılan bulut sunucularını çalıştıranların güvenlik güncellemesini manuel olarak uygulamaları gerektiğini söylüyor.
Son olarak şirket, güvenlik olayıyla ilgili soruşturmaların devam ettiğini ve daha fazla bilgi elde edildiğinde sayfasında güncellemeler sağlanacağını kaydetti.
BleepingComputer, olayla ilgili daha fazla bilgi almak için BeyondTrust ile iletişime geçti; geri bildirim aldığımızda bu gönderiyi güncelleyeceğiz.