CISA KEV 警告 25/01/13:BeyondTrust/Qlik Sense の脆弱性を登録

CISA Adds Second BeyondTrust Flaw to KEV Catalog Amid Active Attacks

2015/01/13 TheHackerNews — 2025年1月13日 に米国の CISA は、BeyondTrust Privileged Remote Access (PRA)/Remote Support (RS) に影響を及ぼし、また、実環境での悪用が確認されている、脆弱性 CVE-2024-12686 (CVSS:6.6) を KEV カタログに追加した。

脆弱性 CVE-2024-12686 の悪用に成功した、既存の管理者権限を持つ攻撃者は、サイト・ユーザーとしてのコマンド注入/実行の可能性を手にする。

CISA は、「BeyondTrust Privileged Remote Access (PRA)/Remote Support (RS) には、OS コマンド・インジェクションの脆弱性が存在する。この脆弱性の悪用に成功した、既存の管理者権限を持つ攻撃者は、悪意のファイルをリモートからアップロードし得る。その結果として攻撃者は、サイト・ユーザーのコンテキスト内での、OS コマンド実行の可能性を手にする」と述べている。

2024年12月にも、BeyondTrust の Privileged Remote Access (PRA)/Remote Support (RS) においては、別のコマンド・インジェクションの脆弱性 CVE-2024-12356 (CVSS:9.8) が KEV カタログに追加されている。

BeyondTrust によると、新たに KEV に追加された脆弱性 CVE-2024-12686 は、2024年12月初めに発生したサイバー・インシデントの調査中に発見されたものだという。リモート・サポート SaaS の API キーを悪用してインスタンスの一部に侵入した攻撃者が、ローカル・アプリケーション・アカウントのパスワードをリセットするという手口が、このインシデントでは用いられたという。

その後に、問題の API キーは無効化されたが、このキーに対する侵害の方法は、依然として不明である。これらの2つの脆弱性をゼロデイ脆弱性として悪用した攻撃者が、BeyondTrust システムに侵入したとみられる。

2025年1月の初めには、BeyondTrust システムの悪用を原因とする、米財務省へのサイバー攻撃が発生している。攻撃者は BeyondTrust のシステムを侵害し、不正に取得した Remote Support SaaS API キーを利用して、同省のネットワークへ侵入した。このハッキングは、中国のグループ Silk Typhoon (別名:Hafnium) によるものとされている。

この攻撃の主な標的は、財務省外国資産管理局 (OFAC:Office of Foreign Assets Control)/財務省金融調査室/対米外国投資委員会 (CFIUS:Committee on Foreign Investment in the United States) であるとみられていると、Washington PostCNN は報じている。

また、2025年1月13日の KEV カタログには、Qlik Sense に影響を与える脆弱性 CVE-2023-48365 (CVSS:9.9) も追加された。この脆弱性の悪用に成功した攻撃者は、ソフトウェアをホストするバックエンド・サーバ上で特権を昇格させ、HTTP リクエスト実行の可能性を得る。この脆弱性は既に修正済みだが、Cactus ランサムウェア・グループによる積極的な悪用が確認されている。

こうした活発な悪用を踏まえ、連邦政府の文民行政部門 (FCEB) の各機関に対して CISA が要求するのは、2024年2月3日までに必要なパッチを適用し、ネットワークを脅威から保護することである。

BeyondTrust と Qlik Sense の脆弱性が、CISAの KEV に登録されました。なお、文中でも指摘されているように、BeyondTrust の CVE-2024-12356 は、米財務省へのサイバー攻撃で悪用されており、その他への影響も懸念されています。よろしければ、以下のリストを、ご参照ください。

2025/01/07:BeyondTrust 侵害:連邦政府の被害は財務省のみ – CISA
2025/01/04:BeyondTrust の CVE-2024-12356:8,602 件のインスタンス
2024/12/31:米財務省で発生したデータ侵害:BeyondTrust 経由で侵入?
2024/12/20:CISA KEV 警告:BeyondTrust の脆弱性CVE-2024-12356 を登録
2024/12/18:BeyondTrust PRA/RS の RCE 脆弱性 CVE-2024-12356 が FIX