Beyondtrust ha revelado que completó una investigación sobre un reciente incidente de ciberseguridad que se dirigió a algunas de las instancias de SaaS de soporte remoto de la compañía al hacer uso de una clave API comprometida.
La compañía dijo que la violación involucró a 17 clientes de soporte remoto SaaS y que la clave API se utilizó para permitir el acceso no autorizado al restablecer las contraseñas de la aplicación local. La violación se marcó por primera vez el 5 de diciembre de 2024.
«La investigación determinó que se utilizó una vulnerabilidad de día cero de una aplicación de terceros para obtener acceso a un activo en línea en una cuenta de Beyondtrust AWS», dijo la compañía esta semana.
«El acceso a ese activo luego le permitió al actor de amenaza obtener una clave de API de infraestructura que luego podría aprovecharse contra una cuenta de AWS separada que operaba infraestructura de soporte remoto».
La compañía de gestión de acceso estadounidense no nombró la aplicación que se exploró para obtener la clave API, pero dijo que la investigación descubrió dos fallas separadas en sus propios productos (CVE-2024-12356 y CVE-2024-12686).
Desde entonces, Beyondtrust ha revocado la clave API comprometida y suspendido todas las instancias de clientes afectadas conocidas, al tiempo que les proporciona instancias alternativas de soporte remoto SaaS.
Vale la pena señalar que la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó tanto CVE-2024-12356 como CVE-2024-12686 a su catálogo de vulnerabilidades explotadas (KEV) conocidas, citando evidencia de explotación activa en la naturaleza. Los detalles exactos de la actividad maliciosa se desconocen actualmente.
El desarrollo se produce cuando el Departamento del Tesoro de los Estados Unidos dijo que era una de las partes afectadas. No se evalúan otras agencias federales por haber sido afectadas.
Los ataques se han atribuido a un grupo de piratería vinculado a China denominado Typhoon de Silk (anteriormente Hafnium), con la agencia imponiendo sanciones contra un actor cibernético con sede en Shanghai llamado Yin Kecheng por su presunta participación en la incumplimiento de la red de oficinas departamentales del Tesoro.