Один API-ключ оказался ключом к казне США

Агентство CISA добавило вторую уязвимость, затрагивающую продукты BeyondTrust Privileged Remote Access (PRA) и Remote Support (RS), в свой каталог KEV . Это произошло на фоне подтверждённой активности злоумышленников.

CVE-2024-12686 (оценка CVSS: 7.2) позволяет хакеру с административными правами выполнять команды от имени пользователя сайта. В CISA уточнили, что киберпреступник может использовать ошибку для загрузки вредоносного файла и выполнения команд операционной системы.

Добавление CVE-2024-12686 последовало спустя месяц после включения другой критической уязвимости в том же продукте — CVE-2024-12356 (оценка CVSS: 9.8), которая также позволяет выполнять произвольные команды.

BeyondTrust сообщила, что обе уязвимости были выявлены в рамках расследования киберинцидента, произошедшего в декабре 2024 года. Тогда злоумышленники использовали скомпрометированный API -ключ Remote Support для доступа к некоторым системам компании и изменения паролей локальных учетных записей. Хотя ключ был отозван, обстоятельства компрометации пока не выяснены. Предполагается, что угрозы стали результатом эксплуатации уязвимостей как нулевых дней.

В начале января Министерство финансов США заявило, что сеть ведомства была скомпрометирована через вышеупомянутый API-ключ. Кибератаку связывают с китайской группировкой Silk Typhoon (Hafnium). Сообщается, что целями атаки стали Управление по контролю за иностранными активами (OFAC), Управление финансовых исследований и Комитет по иностранным инвестициям США (CFIUS).