BeyondTrust近日公布了旗下Remote Support SaaS服務的資安事件調查結果。這起事件源於駭客利用被盜用的API金鑰,影響17個使用Remote Support SaaS的客戶。
根據調查,駭客透過一個第三方應用程式的零時差漏洞,成功入侵BeyondTrust的AWS帳戶的線上資產。駭客隨後取得了基礎設施API金鑰,並利用該金鑰攻擊另一個運行Remote Support基礎設施的AWS帳戶。
BeyondTrust表示,駭客利用被竊取的API金鑰,透過重設本地應用程式密碼的方式進行未經授權的存取。該事件最早於2024年12月5日被發現。
雖然BeyondTrust並未透露遭利用的第三方應用程式名稱,
但公司確認在自家產品中發現兩個安全漏洞(CVE-2024-12356和CVE-2024-12686)。美國網路安全暨基礎設施安全局(CISA)已將這兩個漏洞列入已知被利用漏洞(KEV)目錄中。
相關文章:美國CISA列第二個BeyondTrust漏洞入KEV目錄,已遭駭客積極利用
值得注意的是,美國財政部證實為受害者之一。
美國政府將這次攻擊歸咎於中國黑客組織Silk Typhoon(前身為Hafnium),並對
上海一名涉嫌入侵財政部網路的網路駭客成實施制裁。
BeyondTrust已採取多項應對措施,包括撤銷遭盜用的API金鑰、暫停所有已知受影響的客戶實例,並為這些客戶提供替代的Remote Support SaaS實例。截至目前,除美國財政部外,未發現其他聯邦機構受到影響。
延伸閱讀:中國APT組織持續竊取日本機密 專家:恐為未來衝突預作準備
本文轉載自thehackernews。