BeyondTrust ยอมรับว่าแฮ็กเกอร์สามารถเจาะระบบ Remote Support SaaS ได้

บริษัท BeyondTrust ผู้ให้บริการระบบการจัดการการเข้าถึงในระดับสูง (Privileged Access Management - PAM) ได้รับผลกระทบจากการโจมตีทางไซเบอร์ในช่วงต้นเดือนธันวาคม จากการที่แฮ็กเกอร์สามารถเจาะระบบ Remote Support SaaS ของบริษัทบางส่วนได้

BeyondTrust คือบริษัทด้านความปลอดภัยทางไซเบอร์ที่เชี่ยวชาญในการจัดการการเข้าถึงในระดับสูง และบริการการเข้าถึงจากระยะไกลอย่างปลอดภัย (Secure Remote Access Solutions) โดยผลิตภัณฑ์ของบริษัทถูกใช้งานในหลายอุตสาหกรรม เช่น หน่วยงานรัฐบาล, บริษัทเทคโนโลยี, องค์กรค้าปลีก และ E-commerce, องค์กรด้านการดูแลสุขภาพ และผู้ให้บริการด้านพลังงาน และสาธารณูปโภค ซึ่งรวมไปถึงส่วนของธนาคารอีกด้วย

โดยทางบริษัทได้ประกาศเมื่อวันที่ 2 ธันวาคม 2024 ว่า มีการตรวจพบ “พฤติกรรมที่ผิดปกติ” ในระบบเครือข่าย ทั้งนี้จากการสืบสวนเบื้องต้นยืนยันแล้วว่าแฮ็กเกอร์สามารถเจาะระบบ Remote Support SaaS บางส่วนของบริษัทได้

จากการสืบสวนเพิ่มเติม พบว่าแฮ็กเกอร์สามารถเข้าถึง API Key ของระบบ Remote Support SaaS ซึ่งทำให้แฮ็กเกอร์สามารถตั้งค่ารีเซ็ตรหัสผ่านของบัญชีแอปพลิเคชันภายในได้

จากประกาศระบุว่า “BeyondTrust ตรวจสอบพบแล้วว่าเหตุการณ์ความเสียหายนั้นส่งผลต่อลูกค้าบางรายของบริการ Remote Support SaaS เพียงเท่านั้น”

“ในวันที่ 5 ธันวาคม 2024, การวิเคราะห์สาเหตุหลักของเหตุการณ์ความเสียหายที่เกิดขึ้นกับระบบ Remote Support SaaS พบว่า API Key สำหรับระบบ Remote Support SaaS ถูกโจมตี และเข้าถึงโดยไม่ได้รับอนุญาต”

“BeyondTrust ได้ยกเลิก API Key โดยทันทีที่ทราบถึงสาเหตุ และดำเนินการแจ้งเตือนลูกค้าที่ได้รับผลกระทบ และระงับการใช้งานระบบที่ถูกโจมตีภายในวันเดียวกัน พร้อมทั้งจัดเตรียมระบบ Remote Support SaaS สำรองให้กับลูกค้าที่ได้รับผลกระทบเพื่อให้สามารถใช้งานบริการต่อไปได้”

ปัจจุบัน ยังไม่สามารถระบุได้ว่าแฮ็กเกอร์สามารถใช้ระบบ Remote Support SaaS ที่ถูกละเมิดเพื่อเจาะระบบลูกค้าที่ใช้บริการได้หรือไม่

พบช่องโหว่ความปลอดภัยระดับ Critical

ในระหว่างการสอบสวนเกี่ยวกับการโจมตีทางไซเบอร์ ทางบริษัทได้ค้นพบช่องโหว่สองรายการในวันที่ 16 และ 18 ธันวาคม 2024

ช่องโหว่แรกมีหมายเลข CVE-2024-12356 เป็นช่องโหว่ Command injection ระดับ Critical ที่ส่งผลกระทบต่อผลิตภัณฑ์ Remote Support (RS) และ Privileged Remote Access (PRA)

จากคำอธิบายของช่องโหว่ระบุว่า “หากการโจมตีด้วยช่องโหว่นี้สำเร็จ จะทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตน สามารถดำเนินการรันคำสั่งบนระบบปฏิบัติการเพื่อโจมตีจากระยะไกลได้ ราวกับว่าเป็นผู้ใช้งานที่ยืนยันตัวตน และมีสิทธิ์ดำเนินการจริง ๆ”

ในส่วนของช่องโหว่ที่สองมีหมายเลข CVE-2024-12686 เป็นช่องโหว่ที่มีความรุนแรงในระดับปานกลางในผลิตภัณฑ์เดียวกัน โดยสามารถทำให้ผู้โจมตีที่มีสิทธิ์ในการเข้าถึงในระดับผู้ดูแลระบบ สามารถแทรกคำสั่ง (Command Injection) และอัปโหลดไฟล์อันตราย (Upload Malicious Files) บนเครื่องเป้าหมายได้

ถึงแม้จะไม่ได้มีการระบุอย่างชัดเจน แต่ยังเป็นไปได้ว่าแฮ็กเกอร์อาจใช้ช่องโหว่สองรายการที่ยังไม่เคยถูกเปิดเผย และมีวิธีการป้องกันมาก่อนหน้านี้ (Zero-Day) ในการโจมตี เพื่อเข้าถึงระบบของ BeyondTrust หรือใช้เป็นส่วนหนึ่งของขั้นตอนในการโจมตีเพื่อเข้าถึงข้อมูลลูกค้าต่าง ๆ ของทางบริษัท

อย่างไรก็ตาม ทาง BeyondTrust ไม่ได้ระบุอย่างชัดเจนว่าช่องโหว่เหล่านี้ถูกนำมาใช้ในการโจมตีตามที่ระบุไว้ในประกาศทั้งสองฉบับ

BeyondTrust ยังระบุเพิ่มเติมว่าทางบริษัทดำเนินการติดตั้งแพตช์สำหรับช่องโหว่ทั้งสองรายการโดยอัตโนมัติสำหรับทุก Instances บนคลาวด์ เว้นแต่ผู้ที่ใช้ระบบ Self-Hosted Instances จำเป็นเป็นจะต้องดำเนินการติดตั้งอัปเดตแพตซ์ด้านความปลอดภัยด้วยตนเอง

ซึ่งในท้ายที่สุดแล้วทางบริษัทได้ระบุว่า การสืบสวนสอบสวนในด้านความปลอดภัยในเหตุการณ์ความเสียหายที่เกิดขึ้นนี้จะยังคงดำเนินการต่อไป โดยจะมีการอัปเดตข้อมูลเพิ่มเติมบนหน้าเว็บไซต์ของทางบริษัทหากมีความคืบหน้า

BeyondTrust ให้ข้อมูลกับทาง BleepingComputer ว่า ช่องโหว่เหล่านี้ไม่ได้ถูกนำไปใช้งานสำหรับการแพร่กระจายแรนซัมแวร์ หรือสำหรับการเรียกค่าไถ่ ทั้งนี้การสืบสวนยังคงมีต่อไป

โดยรายงานระบุว่า “จนถึงขณะนี้ ทางบริษัทยังไม่พบว่ามี Instances ใดเชื่อมโยงเกี่ยวกับแรนซัมแวร์ และจะยังคงดำเนินการสืบสวนสอบสวนต่อไป โดยทางบริษัทยังคงดำเนินการร่วมกันกับบริษัทผู้ให้บริการด้านความมั่นคง และปลอดภัยทางไซเบอร์จากภายนอกที่เป็นอิสระเพื่อทำการสอบสวนอย่างละเอียด”

“ขณะนี้ BeyondTrust กำลังมุ่งเน้นไปที่การรับรองว่า Instances ทั้งหมดของลูกค้าทั้งบนคลาวด์ และ Self-Hosted ได้รับการอัปเดต และรักษาความปลอดภัยอย่างเหมาะสมสูงสุดแล้ว ดังนั้นลำดับความสำคัญสูงสุดของบริษัทคือการสนับสนุนลูกค้ากลุ่มที่ได้รับผลกระทบ โดยการปกป้องระบบ และสภาพแวดล้อมของลูกค้ากลุ่มนี้ ซึ่งบริษัทจะดำเนินการอัปเดตข้อมูลอย่างสม่ำเสมอเมื่อมีความคืบหน้าจากการสืบสวนสอบสวนบนหน้าเว็บไซต์ของทางบริษัท”

บริษัทไม่ได้ให้คำตอบในส่วนของคำถามจากทาง BleepingComputer ว่า ช่องโหว่เหล่านี้ถูกใช้ในการโจมตีเพื่อเข้าถึง Instance ของ Remote Support SaaS ของทางบริษัทหรือไม่ โดยทาง BleepingComputer ได้ดำเนินการส่งคำถามเพื่อติดตามข้อมูลไปแล้ว

ทั้งนี้สำนักงานความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐาน (CISA) ได้ระบุว่า ช่องโหว่ CVE-2024-12356 เคยถูกนำไปใช้ในหลายเหตุการณ์การโจมตีแล้ว แต่ไม่ได้ระบุรายละเอียดเพิ่มเติมในแต่ละเหตุการณ์การโจมตี

ที่มา : bleepingcomputer