Федеральные власти все еще работают с компанией над расследованием взлома рабочих станций Министерства финансов, но пока не объяснили конкретную роль CVE в атаках.

CISA добавляет вторую CVE BeyondTrust в список известных эксплуатируемых уязвимостей

stefanovsky через Getty Images

В понедельник Агентство по кибербезопасности и безопасности инфраструктуры добавило уязвимость внедрения команд в продукты BeyondTrust Remote Support и Privileged Access в свой каталог известных эксплуатируемых уязвимостей.

Уязвимость средней степени серьезности, обозначенная как CVE-2024-12686, позволяет злоумышленнику с правами администратора вводить команды в компьютерную сеть и работать так, как будто он пользователь сайта. Уязвимость имеет оценку CVSS 6,6.

CVE — вторая уязвимость, раскрытая BeyondTrust в ходе расследования серии атак в декабре. Злоумышленник сбросил пароли многочисленных учетных записей после компрометации ключа API Remote Support SaaS. Атаки затронули ограниченное количество клиентов RemoteSupport SaaS.

Пока не ясно, какую роль играет CVE средней степени тяжести в атаках, связывают ли злоумышленники ее с критической уязвимостью внедрения команд CVE-2024-12356 или эксплуатируют ее отдельно. Исследователи из Rapid7 заявили, что пока не видели никакой недавней активности угроз, специфичной для CVE-2024-12686.

CISA в декабре добавила CVE-2024-12356 в свой каталог KEV. BeyondTrust также выявила эту уязвимость внедрения команд во время расследования серии атак. Эта уязвимость имеет оценку CVSS 9,8.

Федеральным властям и компании еще предстоит явно связать CVE BeyondTrust со взломом Министерства финансов или объяснить, какую именно роль они играли в серии атак.

Продукты BeyondTrust широко используются в глобальных корпорациях. Компания заявляет, что у нее около 20 000 клиентов в обширном портфеле, включая 75 из списка Fortune 100.

CISA сотрудничает с BeyondTrust и Министерством финансов, чтобы расследовать взлом многочисленных рабочих станций в агентстве. Связанный с государством хакер получил доступ к несекретным данным, используя украденный ключ от поставщика, который использовался для облачной технической поддержки.

Согласно письму, направленному лидерам Комитета Сената по банковскому делу, жилищному строительству и городскому хозяйству, должностные лица приписали взлом Министерства финансов передовому постоянному субъекту угроз, поддерживаемому Китайской Народной Республикой.

Министр финансов Джанет Йеллен раскритиковала национальное государство за его предполагаемую хакерскую деятельность и то, как она может повлиять на отношения с США во время виртуальной встречи с вице-премьером Хэ Лифэном из Китайской Народной Республики.

На прошлой неделе CISA заявило, что нет никаких доказательств того, что взлом Министерства финансов повлиял на другие федеральные агентства. Однако неясно, используют ли другие федеральные агентства соответствующие продукты BeyondTrust.

Представитель CISA отказался комментировать расследование взлома Министерства финансов или CVE BeyondTrust.

На прошлой неделе BeyondTrust заявило, что близко к завершению судебно-медицинского расследования серии атак.

Добавление CVE BeyondTrust в каталог KEV означает, что у федеральных гражданских агентств исполнительной власти есть крайний срок для устранения этих недостатков. Если они не могут должным образом исправить эти уязвимости или иным образом устранить их, в некоторых случаях им говорят прекратить использование продуктов.

Ожидается, что президент Байден на этой неделе подпишет указ, в котором, среди прочего, будут рассмотрены шаги, которые федеральные агентства должны предпринять для усиления своей безопасности.