Dalış Özeti:
- Devlet bağlantılı bir tehdit aktörünün Aralık ayında ABD Hazine Bakanlığı iş istasyonlarını hedef alan saldırısının başka herhangi bir federal kurumu etkilediğine dair mevcut bir kanıt yok. Siber Güvenlik ve Altyapı Güvenliği Ajansı Pazartesi dedi.
- CISA, saldırının etkisini tam olarak azaltmak ve anlamak için Hazine Bakanlığı ve BeyondTrust yetkilileriyle yakın işbirliği içinde çalıştığını söyledi. Çin ile bağlantılı tehdit aktörlerine atfediliyor. BeyondTrust geçen ay Hazine yetkililerine bir tehdit aktörünün departmandaki son kullanıcılara bulut tabanlı uzaktan teknik destek sağlamak için kullanılan bir anahtarı çaldı.
- Bu arada BeyondTrust şunları söyledi: Güncellenen bir blog gönderisinde, saldırı çılgınlığında hedef alınan sınırlı sayıda RemoteSupport SaaS müşterisine yönelik saldırılara ilişkin adli soruşturmanın tamamlanmasına çok yaklaşıldı. Şirket, tüm SaaS örneklerine tamamen yama uygulandığını ve herhangi bir ek saldırı bildirilmediğini söyledi.
Dalış Bilgisi:
Araştırmalar, herhangi bir acil tehdidin kontrol altına alındığına işaret ediyor ancak saldırıların spesifik olarak nasıl gerçekleştiği ve federal kurumlar ve diğer BeyondTrust müşterileri için uzun vadeli etkilerinin ne olacağı konusunda sorular devam ediyor.
BeyondTrust geçen ay Aralık ayında Uzaktan Destek SaaS’a yönelik saldırılarla bağlantılıydı Müşterileri güvenliği ihlal edilmiş bir API anahtarına. Şirket derhal anahtarı iptal etti, etkilenen müşterileri bilgilendirdi ve örnekleri askıya aldı.
Beyond Trust ayrıca kendi kendine barındırılan tüm bulut sunucularına bir yama yayınladı.
Hazine yetkilileri acente iş istasyonlarına yapılan saldırıyı açıkladı başkan ve rütbeli üyeye yazılan bir mektupta Bankacılık, Konut ve Kentsel İşler Senato Komitesi’nin
Dışarıdan adli tıp uzmanlarıyla yapılan bir soruşturma sırasında şirket, şu şekilde listelenen kritik bir komut ekleme güvenlik açığı tespit etti: CVE-2024-12356ve orta şiddette bir güvenlik açığı olarak listelenmiştir. CVE-2024-12686. Aralık ayında CISA CVE-2024-12356 eklendi bilinen istismar edilen güvenlik açıkları kataloğuna.
BeyondTrust veya federal yetkililer, CVE’lerin Hazine Bakanlığı iş istasyonlarına yönelik saldırılarda doğrudan bir rol oynayıp oynamadığı konusunda yorum yapmadı.
Censys’teki araştırmacılar Perşembe günü 8.600’den fazla BeyondTrust Uzaktan Destek ve Ayrıcalıklı Uzaktan Erişim örneğinin açığa çıktığını söyledi, ancak Pazartesi günü blogu güncelledim tespit yöntemleri değiştirildikten sonra 13.500’den fazlasının açığa çıktığını gösteriyor.
BeyondTrust’un bir sözcüsü, örneklerin görünür olduğunu ancak bunun savunmasız oldukları anlamına gelmediğini vurguladı. Sözcü, tüm SaaS bulut sunucularının danışma belgesindeki CVE’lere karşı tamamen yamalandığını ve yamaların kendi kendine barındırılan tüm bulut sunucularına aktarıldığını belirtti.
Censys geçen hafta, açığa çıkan tüm örneklerin mutlaka savunmasız olmadığı konusunda uyardı. Şirket Pazartesi günü Cybersecurity Dive’a, bu belirli ürünleri kullanan müşterilerin, tehdit aktörleri de dahil olmak üzere halka açık internette görülebildiği için cihazlarını doğru şekilde yamalandığından emin olmak için cihazlarını manuel olarak kontrol etmeleri gerektiğini söyledi.