https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/
https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/

新聞

美國CISA列第二個BeyondTrust漏洞入KEV目錄,已遭駭客積極利用

2025 / 01 / 15
編輯部
美國CISA列第二個BeyondTrust漏洞入KEV目錄,已遭駭客積極利用
美國網路安全暨基礎設施安全局(CISA)近日將另一個影響BeyondTrust特權遠端存取(PRA)和遠端支援(RS)產品的安全漏洞加入已知被利用漏洞(KEV)目錄,原因是發現該漏洞已在野外遭到積極利用。

漏洞細節與影響

這個編號為CVE-2024-12686的中度嚴重性漏洞(CVSS評分6.6)可讓擁有現有管理權限的攻擊者注入命令並以網站用戶身份執行。根據CISA的說明,BeyondTrust PRA和RS產品存在作業系統命令注入漏洞,攻擊者可以利用現有的管理權限上傳惡意檔案,進而在網站用戶的權限範圍內執行底層作業系統命令。

此次公告距離CISA將另一個影響相同產品的嚴重漏洞(CVE-2024-12356,CVSS評分9.8)加入KEV目錄已近一個月。這兩個漏洞都能導致任意命令執行。

事件起因與調查

BeyondTrust表示,這兩個漏洞是在調查2024年12月初發生的網路事件時被發現的。當時惡意行為者利用遭到入侵的Remote Support SaaS API金鑰入侵了部分實例,並重置了本地應用程式帳戶的密碼。雖然該API金鑰已被撤銷,但目前仍不清楚攻擊者是如何取得該金鑰的。專家推測攻擊者可能將這兩個漏洞作為零時差漏洞來入侵BeyondTrust系統。

本月初,美國財政部揭露因遭到入侵的API金鑰而遭到攻擊,並稱之為「重大網路安全事件」。這次攻擊已被歸咎於一個名為Silk Typhoon(又稱Hafnium)的中國國家支持駭客組織。根據華盛頓郵報和CNN的多份外媒報導,攻擊者特別針對財政部的海外資產控制辦公室(OFAC)、金融研究辦公室和美國外國投資委員會(CFIUS)。

其他重要更新

CISA同時也將一個影響Qlik Sense的已修補嚴重安全漏洞(CVE-2023-48365,CVSS評分9.9)加入KEV目錄。該漏洞允許攻擊者提升權限並在託管該軟體的後端伺服器上執行HTTP請求。值得注意的是,這個安全漏洞此前已被Cactus勒索軟體組織積極利用。

CISA要求美國國內聯邦機構必須在2024年2月3日之前應用必要的修補程式,以確保其網路免受活躍威脅的影響。專家建議所有使用這些產品的組織應立即採取相應的防護措施,並密切關注可能的異常活動。

台灣企業、組織單位也應隨時留意CISA列入KEV目錄的漏洞,並列為優先修補對象。

本文轉載自thehackernews。