Önde gelen bir kimlik ve erişim yönetim firması olan BeyondTrust, uzak destek SaaS platformunun 17 müşterisini etkileyen kritik bir güvenlik ihlalini açıkladı.
İhlal, sıfır günlük güvenlik açıklarının sömürülmesine bağlandı ve o zamandan beri Çin merkezli hack grubu Silk Typhoon ile bağlantılı.
ABD federal ajansları ve kolluk kuvvetleri soruşturmalarına devam ederken, BeyondTrust konuyu çözmek için önlemler aldı.
İhlal, BeyondTrust’un uzak destek SaaS sisteminde olağandışı bir faaliyet gördükten sonra keşfedildi. Kök neden analizi, bir altyapı API anahtarının üçüncü taraf bir uygulamada sıfır gün güvenlik açığından ödün verildiğini ortaya koydu.
Bu, saldırganların yerel uygulama şifrelerini sıfırlamasına ve belirli uzaktan destek SaaS örneklerine yetkisiz erişim kazanmasına izin verdi.
Kritik sıfır gün güvenlik açıklarından yararlanmak
Saldırganlar, BeyondTrust’un AWS hesabındaki çevrimiçi bir varlığa erişmek için üçüncü taraf bir uygulamada kritik bir sıfır günlük güvenlik açığından yararlandı.
Bu erişim, daha sonra uzak destek altyapısını işleten başka bir AWS hesabına karşı kullanılan bir altyapı API anahtarı almalarını sağladı.
Soruşturma sırasında tanımlanan iki güvenlik açıkları şunlardır:
- CVE-2024-12356: Kritik bir komut enjeksiyonu, kimlik doğrulanmamış saldırganların işletim sistemi komutlarını uzaktan yürütmesine izin veren enjeksiyon.
- CVE-2024-12686: Yönetici kullanıcıların kötü amaçlı dosyalar yüklemelerini ve komutları enjekte etmelerini sağlayan orta-şiddetli bir güvenlik açığı.
Her iki güvenlik açıkları da aktif olarak vahşi doğada kullanıldı ve BeyondRrust’a tüm bulut tabanlı örnekler için yamalar yayınlamaya ve kendi kendine barındırılan müşterileri manuel olarak güncellemeleri uygulamaya çağırdı.
Saldırı, hükümet kuruluşlarını ve kritik altyapıyı hedeflemekle bilinen Çin bağlantılı bir siber-tetikleme grubu olan İpek Typhoon’a (eski adıyla Hafnium) atfedildi.
Grubun, çalınan API anahtarını kullanarak ABD Hazine Departmanından sınıflandırılmamış verilere eriştiği bildirildi.
“Uzaktan destek dışında BeyondTrust ürünleri SaaS etkilenmedi. Hiçbir FedRamp örneği etkilenmedi. Başka hiçbir BeyondTrust sisteminden ödün verilmedi ve fidye yazılımı dahil değildi ”dedi.
BeyondTrust, ihlalin ardından birkaç acil eylem uyguladı:
- Tehlikeye atılan API anahtarını iptal etti.
- Karantina etkilenen müşteri örnekleri ve alternatif uzaktan destek SaaS ortamları sağladı.
- Soruşturma için üçüncü taraf adli tıp firması ile uğraştı.
- Federal kolluk kuvvetleri ve ilgili ajanslarla paylaşılan tehdit istihbaratı ile koordine edilir
Ek olarak, BeyondTrust, tüm SaaS örneklerinde keşfedilen güvenlik açıkları için uygulanmış yamalar uygulandı ve günlükler, uzlaşma göstergeleri (IOC) ve diğer adli eserler sağlayarak etkilenen müşterileri desteklemeye devam ediyor.
Öneriler
- Kendi kendine barındırılan örnekleri yamalarla güncel tutmak.
- Yerel hesaplar üzerinden SAML gibi harici kimlik doğrulama sağlayıcılarının kullanımı.
- Oturum faaliyetleri için giden olay bildirimlerini yapılandırma.
- Şüpheli aktiviteyi izlemek için SIEM sistemleriyle entegre.
- Kullanıcı rolleri ve uç nokta erişimi için en az ayrıcalık ilkelerinin uygulanması
Bu ihlal, yazılım güvenlik açıkları ile birleştirildiğinde API anahtarları gibi insan olmayan kimliklerle ilişkili artan risklerin altını çizmektedir. Kuruluşlar, benzer istismarlara karşı korunmak için sağlam güvenlik uygulamaları benimsemeleri istenir.
Are you from SOC/DFIR Teams? – Analyse Malware Files & Links with ANY.RUN Sandox -> Start Now for Free.