美国财政部“史诗级”黑客事件:祸起网安公司产品漏洞
美国财政部“史诗级”黑客事件:祸起网安公司产品漏洞
原创 网空闲话 网空闲话plus 2024-12-31 01:34
前情回顾
美国财政部在致监管该机构的参议院委员会主席及资深成员的披露信中表示,由于此次黑客攻击事件背后怀疑是一个高级持续性威胁(APT)组织,因此将其视为“重大网络安全事件”。
祸起网络安全公司产品漏洞
据Bleepingcomputer早先的报道,BeyondTrust公司表示,2024年12月2日,它在其网络上检测到了“异常行为”。初步调查证实,威胁行为者入侵了其部分远程支持SaaS实例。
经过进一步调查,发现黑客获得了远程支持SaaS API密钥的访问权限,从而可以重置本地应用程序帐户的密码。
公告中写道: “BeyondTrust发现了一起涉及有限数量的远程支持SaaS客户的安全事件。 ”
“2024年12月5日,对远程支持SaaS问题的根本原因分析发现,远程支持SaaS的API密钥已被泄露。”
BeyondTrust立即撤销了API密钥,通知了已知受影响的客户,并在同一天暂停了这些实例,同时为这些客户提供替代的远程支持SaaS实例。”
作为公司对此次攻击调查的一部分,发现了两个漏洞,一个是在12月16日,另一个是在18日。
第一个漏洞被标记为CVE-2024-12356,是一个严重的命令注入漏洞,影响远程支持 (RS) 和特权远程访问 (PRA) 产品。
该漏洞的描述是这样的:“成功利用此漏洞可以允许未经身份验证的远程攻击者在站点用户的上下文中执行底层操作系统命令。”
第二个问题被标记为CVE-2024-12686,是同一产品上的一个中等严重性漏洞,允许具有管理员权限的攻击者在目标上注入命令并上传恶意文件。
虽然没有明确提到,但黑客有可能利用这两个漏洞作为零日漏洞来访问BeyondTrust系统,或将其作为攻击链的一部分来接触客户。
不过,BeyondTrust当时未在两项咨询报告中将这些漏洞标记为已被积极利用。
外国专家评论
Dispersive副总裁Lawrence Pingree在提供给Dark Reading的声明中表示:“XXXX经常否认对网络间谍事件负责,这给美国在有效处理此类事件方面带来了外交挑战,因为缺乏透明度和问责制/协调性。”他补充说,目前尚不清楚黑客是否能够破解该应用程序的秘密或加密密钥。
他补充道:“秘密和加密密钥管理是管理软件API访问的关键要素,因此,如果某种方式存在缺陷,或者通过开发人员的端点发生泄露,这些秘密和身份验证密钥的泄露可能会造成此类重大泄露。”
美国国家安全局前网络专家埃文·多恩布什 (Evan Dornbush) 在针对此次泄密事件发表的声明中表示,此次泄密事件还表明,网络安全供应商仍然是老练的国家威胁行为者最喜欢的目标。
多恩布什说:“网络安全界正因又一起备受关注的入侵事件而震惊,这次入侵的目标是安全供应商BeyondTrust的客户。此前针对安全公司的攻击名单中,不乏一些知名公司,如 Okta(其入侵直接影响了BeyondTrust作为客户)、LastPass、SolarWinds和Snowflake。”
参考资源
1、https://www.darkreading.com/cyberattacks-data-breaches/chinese-state-hackers-breach-us-treasury-department
2、https://www.bleepingcomputer.com/news/security/us-treasury-department-breached-through-remote-support-platform/
3、https://techcrunch.com/2024/12/30/us-treasury-says-china-stole-documents-in-major-cyberattack/
4、https://www.beyondtrust.com/remote-support-saas-service-security-investigation