BeyondTrust, son zamanlarda yapılan bir siber güvenlik olayıyla ilgili bir soruşturmayı tamamladığını açıkladı, bu da tehlikeye atılan bir API anahtarından yararlanarak şirketin uzak destek SaaS örneklerini hedefliyor.
Şirket, ihlalin 17 uzaktan destek SaaS müşterisini içerdiğini ve API anahtarının yerel uygulama şifrelerini sıfırlayarak yetkisiz erişimi sağlamak için kullanıldığını söyledi. İhlal ilk olarak 5 Aralık 2024’te işaretlendi.
Şirket bu hafta, “Soruşturma, üçüncü taraf bir başvurunun sıfır günlük güvenlik açığının, BeyondRust AWS hesabında çevrimiçi bir varlığa erişim sağlamak için kullanıldığını belirledi.” Dedi.
“Daha sonra bu varlığa erişim, tehdit oyuncusunun, uzak destek altyapısını işleten ayrı bir AWS hesabına karşı kullanılabilecek bir altyapı API anahtarı almasına izin verdi.”
American Access Management Company, API anahtarını elde etmek için keşfedilen uygulamayı adlandırmadı, ancak probun kendi ürünlerinde iki ayrı kusur ortaya çıkardığını söyledi (CVE-2024-12356 ve CVE-2024-12686).
BeyondTrust, o zamandan beri tehlikeye atılmış API anahtarını iptal etti ve bilinen tüm etkilenen müşteri örneklerini askıya aldı ve aynı zamanda alternatif uzaktan destek SaaS örnekleri sağladı.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA), vahşi doğada aktif sömürünün kanıtını gösteren bilinen sömürülen güvenlik açıklarına (KEV) kataloğuna CVE-2024-12356 ve CVE-2024-12686’yı eklediğini belirtmek gerekir. Kötü niyetli aktivitenin kesin detayları şu anda bilinmemektedir.
Gelişme, ABD Hazine Bakanlığı’nın etkilenen taraflardan biri olduğunu söylediği gibi geliyor. Başka hiçbir federal ajansın etkilenmediği değerlendirilmez.
Saldırılar, Çin bağlantılı bir hack grubu dubbey ipek typhoon’a (eski adıyla Hafnium) atfedildi ve ajans, Hazine Dairesi Dairesi Ofisleri ağının ihlaline dahil olduğu iddiasıyla Şangay merkezli bir siber aktöre karşı yaptırımlar uyguladı.