ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Pazartesi günü BeyondTrust Ayrıcalıklı Uzaktan Erişim (PRA) ve Uzaktan Destek (RS) ürünlerini etkileyen ikinci bir güvenlik açığını Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğuna ekledi ve vahşi ortamda aktif istismara ilişkin kanıtları öne sürdü .
Söz konusu güvenlik açığı CVE-2024-12686’dır (CVSS puanı: 6,6), mevcut yönetici ayrıcalıklarına sahip bir saldırganın komutları enjekte etmesine ve site kullanıcısı olarak çalışmasına olanak tanıyan orta önemde bir hatadır.
CISA, “BeyondTrust Ayrıcalıklı Uzaktan Erişim (PRA) ve Uzaktan Destek (RS), mevcut yönetici ayrıcalıklarına sahip bir saldırganın kötü amaçlı bir dosya yüklemek için kullanabileceği bir işletim sistemi komut ekleme güvenlik açığı içeriyor” dedi.
“Bu güvenlik açığından başarıyla yararlanılması, uzaktaki bir saldırganın site kullanıcısı bağlamında temel işletim sistemi komutlarını yürütmesine olanak tanıyabilir.”
CVE-2024-12686’nın KEV kataloğuna eklenmesi, aynı ürünü etkileyen ve keyfi komutların yürütülmesine de yol açabilecek başka bir kritik güvenlik açığının (CVE-2024-12356, CVSS puanı: 9,8) eklenmesinden yaklaşık bir ay sonra gerçekleşti.
BeyondTrust, her iki güvenlik açığının da Aralık 2024’ün başlarında, bazı örnekleri ihlal etmek ve yerel uygulama hesaplarının şifrelerini sıfırlamak için ele geçirilen Uzaktan Destek SaaS API anahtarından yararlanan kötü niyetli aktörleri içeren bir siber olaya yönelik araştırmasının bir parçası olarak keşfedildiğini söyledi.
API anahtarı o zamandan beri iptal edilmiş olsa da, anahtarın tam olarak nasıl ele geçirildiği henüz bilinmiyor. Tehdit aktörlerinin BeyondTrust sistemlerine sızmak için bu iki kusuru sıfır gün olarak kullandığından şüpheleniliyor.
Bu ayın başlarında ABD Hazine Bakanlığı, “büyük bir siber güvenlik olayı” olarak nitelendirdiği şekilde, tehlikeye atılmış API anahtarı kullanılarak ağının ihlal edildiğini açıkladı. Hack, Silk Typhoon (diğer adıyla Hafnium) adlı Çin devleti destekli bir gruba bağlandı.
Washington Post ve CNN’den gelen çok sayıda rapora göre, tehdit aktörlerinin özellikle Hazine’nin Yabancı Varlıklar Kontrol Ofisi’ni (OFAC), Finansal Araştırma Ofisi’ni ve ABD’deki Yabancı Yatırım Komitesi’ni (CFIUS) hedef aldığına inanılıyor.
KEV kataloğuna ayrıca, bir saldırganın yazılımı barındıran arka uç sunucuda ayrıcalıkları yükseltmesine ve HTTP isteklerini yürütmesine olanak tanıyan, Qlik Sense’i (CVE-2023-48365, CVSS puanı: 9,9) etkileyen, artık yamalanmış kritik bir güvenlik açığı da eklendi.
Güvenlik açığının geçmişte Cactus fidye yazılımı grubu tarafından aktif olarak istismar edildiğini belirtmekte fayda var. Federal kurumların, ağlarını aktif tehditlere karşı korumak için 3 Şubat 2024’e kadar gerekli yamaları uygulamaları gerekiyor.