De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft maandag een tweede beveiligingsfout die gevolgen heeft voor BeyondTrust Privileged Remote Access (PRA) en Remote Support (RS)-producten toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, daarbij verwijzend naar bewijs van actieve exploitatie in het wild .
De kwetsbaarheid in kwestie is CVE-2024-12686 (CVSS-score: 6,6), een bug van gemiddelde ernst waarmee een aanvaller met bestaande beheerdersrechten opdrachten kan injecteren en als sitegebruiker kan uitvoeren.
“BeyondTrust Privileged Remote Access (PRA) en Remote Support (RS) bevatten een kwetsbaarheid voor het injecteren van commando’s in het besturingssysteem die door een aanvaller met bestaande beheerdersrechten kan worden misbruikt om een kwaadaardig bestand te uploaden”, aldus CISA.
“Succesvolle exploitatie van dit beveiligingslek kan een aanvaller op afstand in staat stellen onderliggende commando’s van het besturingssysteem uit te voeren binnen de context van de sitegebruiker.”
De toevoeging van CVE-2024-12686 aan de KEV-catalogus komt bijna een maand nadat er nog een kritieke beveiligingsfout aan werd toegevoegd die gevolgen heeft voor hetzelfde product (CVE-2024-12356, CVSS-score: 9,8) en die ook zou kunnen leiden tot de uitvoering van willekeurige opdrachten.
BeyondTrust zei dat beide kwetsbaarheden werden ontdekt als onderdeel van het onderzoek naar een cyberincident begin december 2024 waarbij kwaadwillende actoren een gecompromitteerde Remote Support SaaS API-sleutel gebruikten om een aantal instanties te doorbreken en wachtwoorden voor lokale applicatie-accounts opnieuw in te stellen.
Hoewel de API-sleutel inmiddels is ingetrokken, is de exacte wijze waarop de sleutel is gecompromitteerd nog onbekend. Er wordt vermoed dat de bedreigingsactoren de twee fouten hebben uitgebuit als zero-days om in BeyondTrust-systemen in te breken.
Eerder deze maand onthulde het Amerikaanse ministerie van Financiën dat er inbreuk was gemaakt op zijn netwerk met behulp van de gecompromitteerde API-sleutel, wat volgens het ministerie een “groot cyberveiligheidsincident” was. De hack is gepleegd op een door de Chinese staat gesponsorde groep genaamd Silk Typhoon (ook bekend als Hafnium).
Er wordt aangenomen dat de dreigingsactoren zich specifiek hebben gericht op het Office of Foreign Assets Control (OFAC), het Office of Financial Research en het Committee on Foreign Investment in the United States (CFIUS) van het ministerie van Financiën, volgens meerdere rapporten van de Washington Post en CNN.
Ook toegevoegd aan de KEV-catalogus is een nu gepatcht kritiek beveiligingsprobleem dat Qlik Sense treft (CVE-2023-48365, CVSS-score: 9.9), waardoor een aanvaller bevoegdheden kan escaleren en HTTP-verzoeken kan uitvoeren op de backend-server die de software host.
Het is vermeldenswaard dat het beveiligingslek in het verleden actief is uitgebuit door de Cactus-ransomwaregroep. Federale instanties zijn verplicht om vóór 3 februari 2024 de nodige patches toe te passen om hun netwerken te beveiligen tegen actieve bedreigingen.
