BeyondTrust Zero-Day Breach Exposed 17 SaaS Customers via Compromised API Key
2025/02/01 TheHackerNews — BeyondTrust が明らかにしたのは、同社のリモートサポート SaaS インスタンスの一部を標的とし、不正に取得した API キーを悪用する、最近のサイバーセキュリティ・インシデントの調査の完了である。
2024年12月5日に初めて報告された、この侵害により、17社のリモートサポート SaaS 顧客が被害を受けたという。この侵害では、ローカル・アプリケーションのパスワードのリセットにより API キーが悪用され、不正アクセスに至ったと、BeyondTrust は述べている。
2025年1月28日に更新されたインシデント調査レポートで BeyondTrust は 、「今回の調査の結果として判明したのは、サードパーティ製アプリケーションのゼロデイ脆弱性が、BeyondTrust AWS アカウント内の、オンライン資産への不正アクセスに悪用されたことだ。それらの資産へのアクセスにより、脅威アクターが取得したインフラ API キーは、Remote Support サービスを運用する、他の AWS アカウントに対して悪用できるものだ」と語っている。
BeyondTrust は、API キーを取得するために悪用されたアプリケーション名を挙げていない。しかし、調査の結果として、自社製品に2つの脆弱性 CVE-2024-12356/CVE-2024-12686 が発見されたと述べている。その後に BeyondTrust は、侵害された API キーを無効化し、影響を受けた全顧客のインスタンスを停止し、代替のリモートサポート SaaS インスタンスを提供している。
米国 CISA は、BeyondTrust の脆弱性 CVE-2024-12356/CVE-2024-12686 を、実環境での活発な悪用が確認されたとして、KEV (Known Exploited Vulnerabilities) カタログに追加している。悪意の活動の詳細は、現時点では不明である。
この事態の進展を受け、米国財務省が発表したのは、同省も被害を受けた当事者であることだ。なお、他の連邦機関には、影響は及んでいないようだ。
今回の攻撃は、中国のハッキング・グループ Silk Typhoon (旧称:Hafnium) によるものとされている。これを受けた米国当局は、上海を拠点とするサイバー犯罪者である Yin Kecheng に対し、財務省の部門オフィスネットワーク侵害への関与が疑われるとして制裁を科した。
2024年12月に発生した、BeyondTrust のゼロデイ脆弱性を悪用したインシデントの調査が完了しました。文中にあるように、BeyondTrust の脆弱性は米国財務省へのサイバー攻撃で悪用されており、その他への影響も懸念されています。よろしければ、以下のリストを、ご参照ください。
2015/01/13:CISA KEV 警告:BeyondTrust/Qlik Sense の脆弱性を登録
2025/01/07:BeyondTrust 侵害:連邦政府の被害は財務省のみ – CISA
2024/12/31:米財務省で発生したデータ侵害:BeyondTrust 経由で侵入?
2024/12/20:CISA KEV 警告 24/12/19:BeyondTrust 脆弱性を登録
2024/12/18:BeyondTrust PRA/RS の RCE 脆弱性 CVE-2024-12356
IoT OT Security News 
You must be logged in to post a comment.