CISA ระบุว่าช่องโหว่ command injection (CVE-2024-12686) ใน Privileged Remote Access (PRA) และ Remote Support (RS) ของ BeyondTrust กำลังถูกนำไปใช้ในการโจมตีอย่างต่อเนื่องอยู่ในปัจจุบัน
ตามข้อกำหนด Binding Operational Directive (BOD) 22-01 หลังจากที่ช่องโหว่ได้ถูกเพิ่มเข้าไปใน Known Exploited Vulnerabilities catalog ของ CISA หน่วยงานของรัฐบาลกลางสหรัฐฯ จะต้องทำการแก้ไข รวมถึงรักษาความปลอดภัยเครือข่ายของตนจากการโจมตีที่มุ่งเป้าไปที่ช่องโหว่ดังกล่าวภายในสามสัปดาห์ หรือภายในวันที่ 3 กุมภาพันธ์ 2025
รวมถึง CISA ยังได้เพิ่มรายการช่องโหว่ command injection (CVE-2024-12356) อีกรายการที่มีความรุนแรงระดับ Critical ในผลิตภัณฑ์เดียวกันของ BeyondTrust ด้วย
BeyondTrust พบช่องโหว่ทั้ง 2 รายการ ในขณะที่กำลังสืบสวนเหตุการณ์โจมตี Remote Support SaaS instances บางส่วนในช่วงต้นเดือนธันวาคม โดย Hacker ได้ขโมย API key ออกไป ซึ่งต่อมาถูกนำไปใช้เพื่อรีเซ็ตรหัสผ่านสำหรับบัญชี local application
แม้ว่าการเปิดเผยข้อมูลของ BeyondTrust ในเดือนธันวาคม 2024 จะไม่ได้กล่าวถึงเรื่องนี้โดยตรง แต่คาดว่า Hacker น่าจะใช้ช่องโหว่ทั้ง 2 รายการเป็น Zero Days ในการโจมตีเข้าสู่ระบบของ BeyondTrust เพื่อเข้าถึงเครือข่ายของลูกค้า
ในช่วงต้นเดือนมกราคม 2025 กระทรวงการคลังเปิดเผยว่าเครือข่ายของกระทรวงถูกโจมตี โดยใช้รหัส API SaaS ของ Remote Support ที่ขโมยมาเพื่อเจาะระบบ BeyondTrust ที่หน่วยงานใช้งานอยู่
ตั้งแต่นั้นมา การโจมตีช่องโหว่ดังกล่าวก็ถูกเชื่อมโยงกับกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลจีนในชื่อ Silk Typhoon ซึ่งเป็นที่รู้จักในด้านการโจมตีเพื่อขโมยข้อมูล และกลายเป็นที่รู้จักอย่างกว้างขวางหลังจากโจมตีเซิร์ฟเวอร์ไปแล้วประมาณ 68,500 ระบบในช่วงต้นปี 2021 โดยใช้ช่องโหว่ Zero-Days ของ Microsoft Exchange Server ProxyLogon
โดยกลุ่ม Hacker ได้มุ่งเป้าไปที่สำนักงานควบคุมทรัพย์สินต่างประเทศ (OFAC) โดยเฉพาะ ซึ่งเป็นหน่วยงานที่ดูแลโครงการคว่ำบาตรทางการค้า และเศรษฐกิจ และคณะกรรมการการลงทุนจากต่างประเทศในสหรัฐอเมริกา (CFIUS) ซึ่งตรวจสอบการลงทุนจากต่างประเทศเพื่อตรวจสอบความเสี่ยงต่อความมั่นคงของชาติ รวมถึงยังได้โจมตีระบบของสำนักงานวิจัยการเงินของกระทรวงการคลัง แต่ผลกระทบของเหตุการณ์นี้ยังอยู่ระหว่างการประเมิน เชื่อกันว่า Silk Typhoon ได้ใช้ BeyondTrust digital key ที่ขโมยมาเพื่อเข้าถึงข้อมูลที่ไม่เป็นความลับที่เกี่ยวข้องกับการดำเนินการคว่ำบาตรที่อาจเกิดขึ้นและเอกสารอื่น ๆ
BeyondTrust ระบุว่า ได้ติดตั้งแพตช์ด้านความปลอดภัยสำหรับช่องโหว่ CVE-2024-12686 และ CVE-2024-12356 บน cloud instances ทั้งหมดเรียบร้อยแล้ว อย่างไรก็ตามผู้ที่ใช้งานอินสแตนซ์ที่โฮสต์ด้วยตนเองจะต้องติดตั้งแพตช์อัปเดตด้วยตนเอง
อย่างไรก็ตาม คำแนะนำด้านความปลอดภัยที่ออกเมื่อธันวาคม 2024 ของ BeyondTrust ยังไม่ได้ระบุว่าช่องโหว่ด้านความปลอดภัยทั้ง 2 รายการนี้ได้ถูกนำไปใช้ในการโจมตี
ที่มา : bleepingcomputer.