La société de gestion des accès privilégiés BeyondTrust a subi une cyberattaque début décembre après que des acteurs de la menace ont violé certaines de ses instances SaaS de support à distance.
BeyondTrust est une société de cybersécurité spécialisée dans la gestion des accès privilégiés (PAM) et les solutions d’accès à distance sécurisées. Leurs produits sont utilisés par des agences gouvernementales, des entreprises technologiques, des entités de vente au détail et de commerce électronique, des organisations de soins de santé, des fournisseurs de services énergétiques et de services publics et le secteur bancaire.
L’entreprise affirme que le 2 décembre 2024, elle a détecté un « comportement anormal » sur son réseau. Une première enquête a confirmé que des acteurs de la menace avaient compromis certaines de ses instances SaaS de support à distance.
Après une enquête plus approfondie, il a été découvert que les pirates informatiques avaient eu accès à une clé d’API SaaS de support à distance qui leur permettait de réinitialiser les mots de passe des comptes d’applications locaux.
« BeyondTrust a identifié un incident de sécurité impliquant un nombre limité de clients SaaS d’assistance à distance », indique l’annonce.
« Le 5 décembre 2024, une analyse des causes profondes d’un problème SaaS d’assistance à distance a identifié qu’une clé API pour l’assistance à distance SaaS avait été compromise. »
« BeyondTrust a immédiatement révoqué la clé d’API, informé les clients impactés connus et suspendu ces instances le même jour tout en fournissant d’autres instances SaaS d’assistance à distance pour ces clients. »
Il n’est pas clair si les auteurs de la menace ont pu utiliser les instances SaaS de support à distance compromises pour violer les clients en aval.
Découverte d’une vulnérabilité critique
Dans le cadre de l’enquête de l’entreprise sur l’attaque, elle a découvert deux vulnérabilités, l’une le 16 décembre et l’autre le 18.
Le premier, suivi sous le numéro CVE-2024-12356, est une faille critique d’injection de commandes affectant les produits Remote Support (RS) et Privileged Remote Access (PRA).
« L’exploitation réussie de cette vulnérabilité peut permettre à un attaquant distant non authentifié d’exécuter des commandes sous-jacentes du système d’exploitation dans le contexte de l’utilisateur du site », indique la description de la faille.
Le deuxième problème, suivi sous le numéro CVE-2024-12686, est une vulnérabilité de gravité moyenne sur les mêmes produits, permettant aux attaquants disposant de privilèges d’administrateur d’injecter des commandes et de télécharger des fichiers malveillants sur la cible.
Bien que cela ne soit pas explicitement mentionné, il est possible que les pirates aient exploité les deux failles en zéro jour pour accéder aux systèmes BeyondTrust ou dans le cadre de leur chaîne d’attaque pour atteindre les clients.
Cependant, BeyondTrust n’a pas marqué les failles comme activement exploitées dans l’un ou l’autre avis.
BeyondTrust indique qu’ils ont automatiquement appliqué des correctifs pour les deux failles sur toutes les instances cloud, mais ceux qui exécutent des instances auto-hébergées doivent appliquer manuellement la mise à jour de sécurité.
Enfin, la société a noté que les enquêtes sur l’incident de sécurité sont en cours et que des mises à jour seront fournies sur sa page lorsque de plus amples informations seront disponibles.
Breachtrace a contacté BeyondTrust pour plus d’informations sur l’incident, et nous mettrons à jour ce message lorsque nous aurons de ses nouvelles.