Şirketin 8 Aralık tarihli ve Çarşamba günü güncellenen blog yazısında, bir saldırganın sınırlı sayıda BeyondTrust müşterisinin erişim yönetimi aracı olan Uzaktan Destek SaaS örneklerine erişim sağladığı belirtildi. Saldırgan, Uzaktan Destek SaaS API anahtarını ele geçirdi ve birden fazla hesabın şifrelerini sıfırlama.
Güncellenen bloga göre siber güvenlik sağlayıcısı ilk olarak 2 Aralık’ta Uzaktan Destek SaaS’ın bir müşteri örneğinde anormal etkinlik tespit etti. Üç gün sonra şirket, birden fazla müşterinin etkilendiğini belirledi, bu örnekleri askıya aldı ve güvenliği ihlal edilen API anahtarını iptal etti.
Şirket blog yazısında, “İlk araştırmamız Uzaktan Destek SaaS dışındaki hiçbir BeyondTrust ürününün etkilenmediğini ortaya çıkardı” dedi.
BeyondTrust ayrıca Uzaktan Destek SaaS ve Ayrıcalıklı Uzaktan Erişim ürünlerinde bir çift güvenlik açığını tespit edip yamaladı. CVE-2024-12356 Ve CVE-2024-12686Saldırılarla ilgili soruşturma sırasında. Güvenlik açıkları Pazartesi ve Çarşamba günü açıklandı ve yamalandı.
Şirket, tavsiyelerinde her iki kusurun da aktif olarak kullanıldığını açıklamadı ancak Siber Güvenlik ve Altyapı Güvenliği Ajansı şunları ekledi: CVE-2024-12356A kritik komut ekleme güvenlik açığıona bilinen istismar edilen güvenlik açıkları kataloğu Perşembe günü.
BeyondTrust, saldırılar ile aktif olarak yararlanılan ve CVSS puanı 9,8 olan kritik CVE arasında doğrudan bir bağlantı olduğunu kabul etmedi. Şirket yorum talebine yanıt vermedi.
Üçüncü taraf bir siber güvenlik ve adli tıp firması, saldırılarla ilgili devam eden soruşturmada BeyondTrust’a yardımcı oluyor. Şirket, etkilenen müşterileri bilgilendirdiğini ve soruşturma sonuçlanana kadar güncellemeleri paylaşmaya devam edeceğini söyledi.
BeyondTrust, bu yılın başlarında ürün portföyünde 75’i Fortune 100 listesinde yer alan 20.000 müşterisi olduğunu söyledi.