BeyondTrust: Brecha Zero-Day expôs 17 clientes SaaS por meio de chave de API comprometida

A BeyondTrust concluiu uma investigação sobre um recente incidente de segurança cibernética que afetou algumas instâncias do seu serviço Remote Support SaaS. O ataque explorou uma chave de API comprometida para obter acesso não autorizado, permitindo a redefinição de senhas locais de aplicativos. O incidente foi detectado em 5 de dezembro de 2024 e afetou 17 clientes.

A investigação revelou que um invasor explorou uma vulnerabilidade zero-day em um aplicativo de terceiros para comprometer um ativo online dentro de uma conta AWS da BeyondTrust. A partir desse acesso, a chave de API da infraestrutura foi obtida e usada para atingir outra conta AWS responsável pelo serviço Remote Support.

A empresa não divulgou qual aplicativo foi explorado, mas identificou duas vulnerabilidades em seus próprios produtos (CVE-2024-12356 e CVE-2024-12686), que já foram incluídas no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA devido a evidências de exploração ativa.

Como resposta, a BeyondTrust revogou a chave de API comprometida, suspendeu as instâncias afetadas e ofereceu alternativas aos clientes impactados. O Departamento do Tesouro dos EUA confirmou que foi um dos alvos do ataque, mas nenhuma outra agência federal foi comprometida.

O ataque foi atribuído ao grupo hacker chinês Silk Typhoon (anteriormente conhecido como Hafnium). Além disso, as autoridades dos EUA sancionaram Yin Kecheng, um ator cibernético baseado em Xangai, por seu suposto envolvimento no ataque à rede do Departamento do Tesouro.

Via - THN