- CISA agregó dos errores encontrados en los productos BeyondTrust
- Ambos fueron vistos en estado salvaje en diciembre de 2024.
- Las agencias federales tienen hasta el 3 de febrero de 2025 para arreglar
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado dos errores de BeyondTrust descubiertos recientemente a su catálogo de vulnerabilidades explotadas conocidas (KEV).
La medida significa que CISA ha visto evidencia de exploits en la naturaleza, dando a las agencias federales una fecha límite para arreglar el software o dejar de usarlo por completo.
A finales de diciembre de 2024, BeyondTrust confirmó que había sufrido un ciberataque después de identificar y revelar que varias de sus instancias SaaS de soporte remoto se habían visto comprometidas. Una investigación posterior reveló ambos defectos, que luego la empresa solucionó.
Ataques al Ministerio de Finanzas
Los errores se rastrean como CVE-2024-12686 y CVE-2024-12356. La primera es una vulnerabilidad de gravedad media (puntuación 6,6), descrita como una falla de acceso remoto preferido (PRA) y soporte remoto (RS) que permite a actores maliciosos con privilegios de administrador existentes inyectar comandos y ejecutarlos como usuarios del sitio. Esta última es una vulnerabilidad crítica que podría permitir que un atacante no autenticado inyecte comandos ejecutados como usuario del sitio. Recibió una puntuación de gravedad de 9,8 (crítico).
CVE-2024-12356 se agregó a KEV el 19 de diciembre, mientras que CVE-2024-12686 el 13 de enero. Eso significa que los usuarios tenían hasta el 9 de enero para solucionar el primer defecto y hasta el 3 de febrero de 2025 para solucionar el segundo defecto.
La noticia llega después de que el Departamento del Tesoro de EE. UU. sufriera un ciberataque a principios de enero de 2025 en el que los atacantes, que se cree que son Silk Typhoon, un notorio grupo de ciberespionaje supuestamente empleado por el gobierno chino, utilizaron una clave API SaaS de soporte remoto robada. para comprometer una instancia de BeyondTrust.
Silk Typhoon es quizás mejor conocido por apuntar a aproximadamente 68,500 servidores a principios de 2021 utilizando un Microsoft Exchange Server ProxyLogon de día cero.
Silk Typhon es parte de una red más amplia de grupos “Typhon”: Volt Typhon, Salt Typhon, Linen Typhon y Brass Typhon. Salt Typhoon ha sido vinculado recientemente con una serie de infracciones de alto perfil, incluidas al menos cuatro importantes operadores de telecomunicaciones de EE. UU.
a través de pitidocomputadora
