Çin devleti destekli tehdit aktörlerinin, yama yapılmamış sistemlerdeki kritik bir güvenlik açığından aktif olarak yararlandıkları yönündeki ciddi uyarılara rağmen, kayda değer sayıda BeyondTrust örneği internete bağlı kalıyor.
CVE-2024-12356 kapsamında takip edilen BeyondTrust hatasının CVSS puanı 9,8’dir ve Ayrıcalıklı Uzaktan Erişimi (PRA) ve Uzaktan Desteği (RS) etkiler. İlk olarak BeyondTrust tarafından 16 Aralık 2024’te bildirildi. Üç gün sonra güvenlik açığı, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) Bilinen Yararlanılan Güvenlik Açıkları listesine eklendi. Ay sonuna doğru bir Çin devleti destekli hacker grubu Bu kusuru ABD Hazine Bakanlığı’na girmek ve verileri çalmak için kullanmıştı.
Censys’in yeni analizi, yama uygulanmamış sistemlere karşı yaygın bir gelişmiş kalıcı tehdit (APT) kampanyasına ilişkin oldukça duyurulan kanıtlara rağmen, BeyondTrust PRA ve RS’nin 8.602 örneğinin bulunduğunu ortaya çıkardı. hala internete bağlıBunların yüzde 72’si ABD’de. Ancak Censys araştırmaya büyük bir uyarı ekledi; açığa çıkan örneklere yama yapılıp yapılmadığını bilmelerinin bir yolu yok.
Uzmanlara göre araştırmanın yaptığı varsayım, bu sistemlerin hepsi olmasa da büyük bir kısmının yama yapılmamış, kendi kendine barındırılan BeyondTrust dağıtımları olduğu, yanlışlıkla internete açık bırakıldığı ve muhtemelen savunmasız olduğu yönünde.
Censys açıklama talebine yanıt vermedi.
Kendi Kendine Barındırılan BeyondTrust Dağıtımları Büyük Olasılıkla Gecikmenin Arkasındadır
Bugcrowd CISO’su Trey Ford, “Bu veriler doğruysa, yazılım hizmeti işletim felsefeleri ve lisanslama modellerindeki çok eski ödünleri yansıtıyor” diyor. “Barındırılan hizmetler, hem tespit/yanıt çabalarını hem de merkezi yama ve sağlamlaştırmayı destekleyen ölçek ekonomilerine sahip olacak.”
Ford, kuruluşların kendi kendine barındırılan hizmet olarak yazılım (SaaS) modelleriyle lisanslamada maliyet tasarrufu görebildiğini, ancak bunun karşılığında kaçırdıkları şeyin kritik tehdit istihbaratı ve iyileştirme yardımı olduğunu ekliyor.
Ford, “Müşteriler yama uygulama, sağlamlaştırma ve izleme yeteneklerine sahiptir; bir adada tek başınıza etkili bir şekilde faaliyet gösteriyorsunuz” diye açıklıyor. “Hizmet sağlayıcılar, artan operasyonel verimlilik dalgasının tüm müşterileri koruduğu geniş ölçekte yama uygulama, sağlamlaştırma ve izleme hizmetleri sağlamak için küçük bir prim talep ediyor.”
BeyondTrust bulut müşterileri Güvenlik açığı rapor edilir edilmez 16 Aralık 2024’te otomatik olarak yama uygulandı. BeyondTrust’un kendi kendine barındırılan sürümleri bir yama gerektiriyordu ve aşırı zorlanmış siber güvenlik ekipleri tarafından kolaylıkla gözden kaçırılabilirdi.
Ford, “Merkezi hizmetleri kullanan müşteriler, olay müdahale döngüleri sırasında öncelikli ve neredeyse anında yama dağıtımını görecekler” diyor. “Censys raporunun çevrimiçi olarak yama dağıtımında gecikmeyle gözlemlediği sistemler, yama keşfi, test edilmesi ve yama dağıtımındaki gecikmedir.”
Siber güvenlik uzmanı ve Bambanek Consulting başkanı John Bambenek’e göre, herhangi bir nedenle yama yapılamayan, kendi kendine barındırılan dağıtımlar, savunmasız BeyondTrust uzak araçlarını hâlâ koruyabilir.
“Bunun gibi durumlarda yamalama yapılamasa bile kuruluşlar bu sistemlere gelen bağlantıyı yalnızca güvenilir IP adresleriyle sınırlayabilir” diyor. “Kuruluşlar kendilerini uzaktan kimin desteklediğini biliyor, [so] bu IP adreslerini kolayca kilitleyebilirler.”