Агентство CISA добавило вторую уязвимость, затрагивающую продукты BeyondTrust Privileged Remote Access (PRA) и Remote Support (RS), в свой каталог KEV. Это произошло на фоне подтверждённой активности злоумышленников.
CVE-2024-12686(оценка CVSS: 7.2) позволяет хакеру с административными правами выполнять команды от имени пользователя сайта. В CISA уточнили, что киберпреступник может использовать ошибку для загрузки вредоносного файла и выполнения команд операционной системы.
Добавление CVE-2024-12686 последовало спустя месяц после включения другой критической уязвимости в том же продукте – CVE-2024-12356(оценка CVSS: 9.8), которая также позволяет выполнять произвольные команды.
BeyondTrust сообщила,что обе уязвимости были выявлены в рамках расследования киберинцидента, произошедшего в декабре 2024 года. Тогда злоумышленники использовали скомпрометированный API-ключ Remote Support для доступа к некоторым системам компании и изменения паролей локальных учетных записей. Хотя ключ был отозван, обстоятельства компрометации пока не выяснены. Предполагается, что угрозы стали результатом эксплуатации уязвимостей как нулевых дней.
В начале января Министерство финансов США заявило, что сеть ведомства была скомпрометирована через вышеупомянутый API-ключ. Кибератаку связывают с китайской группировкой Silk Typhoon (Hafnium). Сообщается, что целями атаки стали Управление по контролю за иностранными активами (OFAC), Управление финансовых исследований и Комитет по иностранным инвестициям США (CFIUS).