CISA, BeyondTrust’un Ayrıcalıklı Uzaktan Erişim (PRA) ve Uzaktan Destek (RS) sistemlerindeki bir komut ekleme güvenlik açığını (CVE-2024-12686) saldırılarda aktif olarak kullanıldığı şeklinde etiketledi.
Bağlayıcı Operasyonel Direktif (BOD) 22-01’in zorunlu kıldığı üzere, CISA’nın Bilinen İstismara Uğrayan Güvenlik Açıkları kataloğuna eklendikten sonra ABD federal kurumları, ağlarını 3 Şubat’a kadar üç hafta içinde kusuru hedef alan devam eden saldırılara karşı güvence altına almak zorunda.
19 Aralık’ta ABD siber güvenlik kurumu aynı BeyondTrust yazılım ürünlerine kritik bir komut ekleme güvenlik hatası (CVE-2024-12356) ekledi.
BeyondTrust, Aralık ayı başında Uzaktan Destek SaaS örneklerinden bazılarının ihlalini araştırırken her iki güvenlik açığını da buldu. Saldırganlar, daha sonra yerel uygulama hesaplarının şifrelerini sıfırlamak için kullanacakları bir API anahtarını çaldı.
BeyondTrust’un Aralık ayındaki açıklamasında bundan açıkça bahsedilmese de tehdit aktörleri, müşterilerine ulaşmak amacıyla BeyondTrust sistemlerini hacklemek için sıfır gün olarak iki kusurdan yararlanmış olabilir.
Ocak ayı başında Hazine Bakanlığı, çalıntı Uzaktan Destek SaaS API anahtarını kullanarak kurum tarafından kullanılan BeyondTrust örneğinin güvenliğini ihlal eden saldırganlar tarafından ağının ihlal edildiğini açıkladı.
O zamandan beri saldırının Silk Typhoon olarak bilinen Çin devleti destekli bilgisayar korsanlarıyla bağlantılı olduğu ortaya çıktı. Keşif ve veri hırsızlığı saldırılarıyla tanınan bu siber casusluk grubu, Microsoft Exchange Server ProxyLogon sıfır günlerini kullanarak 2021’in başlarında tahmini 68.500 sunucunun güvenliğini ihlal ettikten sonra yaygın olarak tanındı.
Tehdit aktörleri özellikle ticari ve ekonomik yaptırım programlarını yöneten Yabancı Varlıklar Kontrol Ofisi’ni (OFAC) ve yabancı yatırımları ulusal güvenlik riskleri açısından inceleyen ABD’deki Yabancı Yatırım Komitesi’ni (CFIUS) hedef aldı.
Ayrıca Hazine’nin Mali Araştırma Dairesi’nin sistemlerine de sızdılar ancak bu olayın etkisi hâlâ değerlendiriliyor. Silk Typhoon’un çalınan BeyondTrust dijital anahtarını “potansiyel yaptırım eylemleri ve diğer belgelerle ilgili sınıflandırılmamış bilgilere” erişmek için kullandığına inanılıyor.
BeyondTrust, tüm bulut örneklerinde CVE-2024-12686 ve CVE-2024-12356 kusurları için güvenlik yamaları uyguladığını söylüyor. Ancak şirket içinde barındırılan örnekleri çalıştıranların yamaları manuel olarak dağıtması gerekir.
Şirket, geçen ay yayınlanan güvenlik tavsiyelerinde henüz iki güvenlik açığını aktif olarak istismar edildiğini işaretlemedi.