HackerNews 编译,转载请注明出处:
CISA已将BeyondTrust特权远程访问(PRA)和远程支持(RS)产品中的命令注入漏洞(CVE-2024-12686)标记为正在被攻击利用。
根据《强制性操作指令》(BOD)22-01的要求,该漏洞被纳入CISA的“已知被利用漏洞”目录后,美国联邦机构必须在2月3日前的三周内,针对该漏洞发起的持续攻击,确保其网络安全。
12月19日,美国网络安全机构还在同一款BeyondTrust软件产品中发现了另一个关键的命令注入安全漏洞(CVE-2024-12356)。
BeyondTrust在12月初调查其部分远程支持SaaS实例遭入侵事件时发现了这两个漏洞。攻击者窃取了一个API密钥,随后使用该密钥重置了本地应用账户的密码。
虽然BeyondTrust在12月的披露中并未明确提及,但威胁行为者很可能利用这两个漏洞作为零日漏洞,入侵BeyondTrust系统,进而攻击其客户。
1月初,财政部披露,攻击者使用窃取的远程支持SaaS API密钥,入侵了该部门使用的BeyondTrust实例。
此后,此次攻击被指与中国国家支持的黑客组织“丝绸台风”有关。该网络间谍组织以侦察和数据盗窃攻击而闻名,曾在2021年初利用Microsoft Exchange Server ProxyLogon零日漏洞入侵约68,500台服务器后广为人知。
威胁行为者专门瞄准了负责管理和执行贸易与经济制裁项目的外国资产控制办公室(OFAC),以及审查外国投资是否存在国家安全风险的美国外国投资委员会(CFIUS)。
他们还入侵了财政部的金融研究办公室系统,但此次事件的影响仍在评估中。据信,“丝绸台风”利用窃取的BeyondTrust数字密钥访问了“与潜在制裁行动和其他文件相关的非机密信息”。
BeyondTrust表示,它已对所有云实例中的CVE-2024-12686和CVE-2024-12356漏洞应用了安全补丁。但是,运行自托管实例的用户必须手动部署补丁。
该公司尚未在上个月发布的安全公告中将这两个安全漏洞标记为正在被攻击利用。
消息来源:Bleeping Computer, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
