Beyondtrust ha revelado que completó una investigación sobre un flamante incidente de ciberseguridad que se dirigió a algunas de las instancias de SaaS de soporte remoto de la compañía al hacer uso de una esencia API comprometida.
La compañía dijo que la violación involucró a 17 clientes de soporte remoto SaaS y que la esencia API se utilizó para permitir el camino no competente al restablecer las contraseñas de la aplicación locorregional. La violación se marcó por primera vez el 5 de diciembre de 2024.
“La investigación determinó que se utilizó una vulnerabilidad de día cero de una aplicación de terceros para obtener camino a un activo en secante en una cuenta de Beyondtrust AWS”, dijo la compañía esta semana.
“El camino a ese activo luego le permitió al actor de amenaza obtener una esencia de API de infraestructura que luego podría aprovecharse contra una cuenta de AWS separada que operaba infraestructura de soporte remoto”.
La compañía de diligencia de camino estadounidense no nombró la aplicación que se exploró para obtener la esencia API, pero dijo que la investigación descubrió dos fallas separadas en sus propios productos (CVE-2024-12356 y CVE-2024-12686).
Desde entonces, Beyondtrust ha revocado la esencia API comprometida y suspendido todas las instancias de clientes afectadas conocidas, al tiempo que les proporciona instancias alternativas de soporte remoto SaaS.
Vale la pena señalar que la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó tanto CVE-2024-12356 como CVE-2024-12686 a su catálogo de vulnerabilidades explotadas (KEV) conocidas, citando evidencia de explotación activa en la naturaleza. Los detalles exactos de la actividad maliciosa se desconocen actualmente.
El explicación se produce cuando el Área del Fortuna de los Estados Unidos dijo que era una de las partes afectadas. No se evalúan otras agencias federales por tener sido afectadas.
Los ataques se han atribuido a un comunidad de piratería vinculado a China denominado Typhoon de Silk (anteriormente Hafnium), con la agencia imponiendo sanciones contra un actor cibernético con sede en Shanghai llamado Yin Kecheng por su presunta billete en la incumplimiento de la red de oficinas departamentales del Fortuna.
