CISA: No Federal Agency Beyond Treasury Impacted by BeyondTrust Incident
2025/01/07 SecurityWeek — 2025年1月6日 (月) に米国の CISA が発表したのは、BeyondTrust のクラウドベース・サービスに関連する、最近の大規模なサイバーセキュリティ・インシデントで影響を受けたのは、財務省だけだという調査の結果である。12月31日に公表されたのは、中国政府が支援する APT の攻撃で、BeyondTrust のリモート管理サービスの侵害された API キーが悪用され、財務省のワークステーションと非機密文書への不正アクセスが生じたというものだ。
現時点において、財務省はインシデントの範囲について詳細を明らかにしていない。その一方で、1月6日 (月) に CISA 発表したのは、この攻撃の影響を理解/軽減するために、共同で取り組んでいるという内容だ。
CISA は、「連邦政府のシステム・セキュリティと、そこで保護されるデータは、国家安全保障にとって極めて重要である。当局は、さらなる影響を抑止するために積極的に取り組んでおり、今後も情報を更新していく」と述べている。
今回の攻撃で悪用された BeyondTrust サービスについて、具体的に特定する情報は明らかにされていないが、財務省のコメントによると、12月8日の時点で API キーの漏洩を検知したとのことだ。同日に BeyondTrust は、同社のリモート・サポート SaaS のキーが侵害され、限られた数の顧客が影響を受けたことを公表している。
それから1週間後に BeyondTrust が公開した脆弱性 CVE-2024-12356 (CVSS:9.8) は、このインシデントの調査中に特定されたものであり、Privileged Remote Access (PRA)/Remote Support (RS) のバージョン 24.3.1 以前に影響を与えるものである。
さらに2日後の 12月19日に CISA は、脆弱性 CVE-2024-12356 を KEV カタログに追加した。その一方で BeyondTrust は、今回の調査中に特定された、別のコマンド・インジェクションの脆弱性 CVE-2024-12686 (CVSS:6.6) へのパッチを公開した。
その後に、BeyondTrust はパッチの公開を完了し、インシデントの調査の完了を発表した。
同社は、「BeyondTrust Remote Support の、すべての SaaS インスタンスでは、以前のセキュリティ・アドバイザリで言及された脆弱性に対して、完全なパッチが適用されている。その一方で、セルフホスト・インスタンスに対しても、パッチがプッシュされている。なお、すでに連絡が完了している顧客以外には、新たな問題は発生していない」と述べている。
BeyondTrust は、「影響を受ける Remote Support SaaS インスタンスは、限定された件数だけが特定されている。影響を受ける可能性のある顧客の数については、情報を公開していない」と付け加えている。
攻撃対象領域を管理する Censys によると、インターネットからアクセス可能なBeyondTrust PRA/RS インスタンスは 13,500件以上であり、そのうち数千が米国に配置されているという。ただし、それらのうちの何件が、この脆弱性を抱えているのかは、不明であるという。
BeyondTrust の脆弱性 CVE-2024-12356 が悪用され、米連邦政府の財務省が侵害されましたが、その他の機関には影響が生じていないことが、CISA の調査により明らかになりました。このインシデントに関しては、以下のリストを、ご参照ください。
2025/01/04:BeyondTrust の CVE-2024-12356:8,602 件のインスタンス
2024/12/31:米国の財務省で発生したデータ侵害:BeyondTrust 経由で侵入?
2024/12/20:CISA KEV 警告:BeyondTrust の脆弱性CVE-2024-12356 を登録
2024/12/18:BeyondTrust PRA/RS の RCE 脆弱性 CVE-2024-12356 が FIX
IoT OT Security News 
You must be logged in to post a comment.