Hikaye BeyondTrust ifadesi ile güncellendi.
Ayrıcalıklı erişim yönetimi şirketi BeyondTrust, tehdit aktörlerinin uzak destek SaaS örneklerinden bazılarını ihlal ettikten sonra Aralık ayı başında bir siber saldırıya maruz kaldı.
BeyondTrust, ayrıcalıklı erişim yönetimi (PAM) ve güvenli uzaktan erişim çözümleri konusunda uzmanlaşmış bir siber güvenlik şirketidir. Ürünleri devlet kurumları, teknoloji firmaları, perakende ve e-ticaret kuruluşları, sağlık kuruluşları, enerji ve kamu hizmeti sağlayıcıları ve bankacılık sektörü tarafından kullanılmaktadır.
Şirket, 2 Aralık 2024'te ağında "anormal davranış" tespit ettiğini söylüyor. İlk soruşturma, tehdit aktörlerinin bazı uzak destek SaaS örneklerinden ödün verdiğini doğruladı.
Daha fazla araştırmadan sonra, bilgisayar korsanlarının yerel uygulama hesapları için şifreleri sıfırlamalarına izin veren bir uzak destek SaaS API anahtarına eriştiği keşfedildi.
"BeyondRrust, sınırlı sayıda uzaktan destek SaaS müşterisini içeren bir güvenlik olayı tespit etti."
"5 Aralık 2024'te, uzak destek SaaS sorununa yapılan bir kök neden analizi, SaaS uzaktan destek için bir API anahtarının tehlikeye atıldığını tespit etti."
"BeyondRrust, API anahtarını derhal iptal etti, bilinen etkilenen müşterileri bildirdi ve aynı gün bu örnekleri askıya aldı ve bu müşteriler için alternatif uzaktan destek SaaS örnekleri sağlar."
Tehdit aktörlerinin, aşağı yönlü müşterileri ihlal etmek için tehlikeye atılan uzaktan destek SaaS örneklerini kullanıp kullanamadıkları belirsizdir.
Şirketin saldırıya ilişkin soruşturmasının bir parçası olarak, biri 16 Aralık'ta diğeri 18. olmak üzere iki güvenlik açığı keşfetti.
CVE-2024-12356 olarak izlenen birincisi, uzak desteği (RS) ve ayrıcalıklı uzaktan erişim (PRA) ürünlerini etkileyen kritik bir komut enjeksiyon kusurudur.
"Bu güvenlik açığının başarılı bir şekilde kullanılması, kimlik doğrulanmamış, uzak bir saldırganın site kullanıcısı bağlamında temel işletim sistemi komutlarını yürütmesine izin verebilir."
CVE-2024-12686 olarak izlenen ikinci sayı, aynı ürünlerde orta yüzlü bir güvenlik açığıdır ve yönetici ayrıcalıkları olan saldırganların komutları enjekte etmesine ve hedefe kötü amaçlı dosyalar yüklemesine izin verir.
Her ne kadar açıkça belirtilmemesine rağmen, bilgisayar korsanlarının BeyondTrust sistemlerine erişmek için veya müşterilere ulaşmak için saldırı zincirlerinin bir parçası olarak iki kusuru sıfır gün olarak kullanması mümkündür.
Bununla birlikte, BeyondTrust, her iki danışmada da aktif olarak sömürülen kusurları işaretlememiştir.
BeyondTrust, tüm bulut örneklerinde iki kusur için otomatik olarak yamalar uyguladıklarını, ancak kendi kendine barındırılan örnekleri çalıştıranların güvenlik güncellemesini manuel olarak uygulamaları gerektiğini söylüyor.
Son olarak, şirket güvenlik olayıyla ilgili soruşturmaların devam ettiğini ve daha fazla bilgi kullanıma sunulduğunda sayfasında güncellemeler sağlanacağını belirtti.
BeyondTrust, BleepingComputer'a güvenlik açıklarının fidye yazılımı dağıtmak için kullanılmadığını ve araştırmalarının hala devam ettiğini söyledi.
BeyondTrust, BeyondRrust BeepingComputer'a verdiği demeçte, "Bu süre zarfında, herhangi bir fidye yazılımı örneğiyle karşılaşmadık. Araştırmamız devam ediyor ve bağımsız üçüncü taraf siber güvenlik firmalarıyla kapsamlı bir soruşturma yürütmek için çalışmaya devam ediyoruz."
"Şu anda, BeyondTrust, hem bulut hem de kendi kendine barındırılan tüm müşteri örneklerinin tam olarak güncellenmesini ve güvenli olmasını sağlamaya odaklanmıştır. Önceliğimiz, sınırlı sayıda müşterinin etkilenmesi ve ortamlarını korumasını desteklemeye devam etmektedir. Düzenli güncellemeler sağlamaya devam edeceğiz. Soruşturmamız ilerledikçe web sitemiz aracılığıyla. "
Kusurların uzak desteği SaaS örneklerini ihlal etmek için kullanılıp yararlanmadığı sorumuza cevap vermediler ve BleepingComputer ek takip soruları gönderdi.
Bununla birlikte, CISA şimdi CVE-2024-12356'nın saldırılarda sömürüldüğünü ancak daha fazla ayrıntı paylaşmadığını söylüyor.
Fintech devi Finastra, SFTP Hack'ten sonra veri ihlalini araştırıyor
Rhode Island, beyin şifresi fidye yazılımı saldırısından sonra veri ihlalini teyit eder
Bitcoin ATM firması bayt federal GitLab Kususu aracılığıyla hacklendi, 58K kullanıcısına maruz kaldı
Termit fidye yazılımı çetesi tarafından ihlal edilen mavi yonder saas devi
Bu AnyViewer Siber Haftası Anlaşması ile PC'nize her yerden bağlanın
Kaynak: Bleeping Computer