CISA a identifié une vulnérabilité d’injection de commandes (CVE-2024-12686) dans l’Accès à distance privilégié (PRA) et l’assistance à distance (RS) de BeyondTrust comme étant activement exploitée dans des attaques.
Comme le prescrit la Directive Opérationnelle contraignante (BOD) 22-01, après avoir été ajoutée au catalogue de vulnérabilités exploitées connues de CISA, les agences fédérales américaines doivent sécuriser leurs réseaux contre les attaques en cours ciblant la faille dans les trois semaines suivant le 3 février.
Le 19 décembre, l’agence américaine de cybersécurité a également ajouté un bogue critique de sécurité d’injection de commandes (CVE-2024-12356) dans les mêmes produits logiciels BeyondTrust.
BeyondTrust a découvert les deux vulnérabilités lors d’une enquête sur la violation de certaines de ses instances SaaS d’assistance à distance début décembre. Les attaquants ont volé une clé API, qu’ils ont ensuite utilisée pour réinitialiser les mots de passe des comptes d’applications locales.
Bien que la divulgation de décembre de BeyondTrust ne le mentionne pas explicitement, les auteurs de la menace ont probablement exploité les deux failles en zéro jour pour pirater les systèmes BeyondTrust afin d’atteindre ses clients.
Début janvier, le Département du Trésor a révélé que son réseau avait été piraté par des attaquants qui utilisaient une clé API SaaS d’assistance à distance volée pour compromettre une instance BeyondTrust utilisée par l’agence.
Depuis lors, l’attaque a été liée à des pirates informatiques soutenus par l’État chinois connus sous le nom de Silk Typhoon. Ce groupe de cyberespionnage, connu pour ses attaques de reconnaissance et de vol de données, est devenu largement connu après avoir compromis environ 68 500 serveurs début 2021 à l’aide de Microsoft Exchange Server ProxyLogon zero-days.
Les acteurs de la menace ciblaient spécifiquement l’Office of Foreign Assets Control (OFAC), qui administre les programmes de sanctions commerciales et économiques, et le Committee on Foreign Investment in the United States (CFIUS), qui examine les investissements étrangers pour les risques pour la sécurité nationale.
Ils ont également piraté le Bureau des systèmes de recherche financière du Trésor, mais l’impact de cet incident est toujours en cours d’évaluation. Silk Typhoon aurait utilisé la clé numérique BeyondTrust volée pour accéder à « des informations non classifiées relatives à d’éventuelles sanctions et à d’autres documents. »
BeyondTrust affirme avoir appliqué des correctifs de sécurité pour les failles CVE-2024-12686 et CVE-2024-12356 sur toutes les instances cloud. Cependant, ceux qui exécutent des instances auto-hébergées doivent déployer les correctifs manuellement.
La société n’a pas encore marqué les deux vulnérabilités de sécurité comme activement exploitées dans les avis de sécurité publiés le mois dernier.