Кибератаки становятся все более изощренными, и недавние события подчеркивают необходимость постоянной бдительности. Американское агентство CISA (Cybersecurity and Infrastructure Security Agency) внесло в свой каталог KEV (Known Exploited Vulnerabilities) сразу три новые уязвимости, требующие немедленного внимания. Две из этих брешей связаны с продуктами компании BeyondTrust, а третья касается платформы Qlik Sense.
Первая из новоиспеченных проблемных зон – уязвимость CVE-2024-12686 в продуктах BeyondTrust Privileged Remote Access (PRA) и Remote Support (RS). Эта брешь, получившая оценку 6.6 по шкале CVSS, относится к категории «средней» опасности, но не стоит ее недооценивать. Суть ее состоит в возможности внедрения команд операционной системы (OS command injection). Злоумышленник, имеющий административные привилегии, способен загрузить вредоносный файл, который позволит ему выполнять команды от имени пользователя сайта. В результате удаленный злоумышленник может получить возможность выполнять команды в контексте пользователя сайта.
Вторая уязвимость BeyondTrust, CVE-2024-12356, уже находилась в списке KEV. Она получила критическую оценку в 9.8 баллов по шкале CVSS. Эта брешь позволяет злоумышленникам выполнять произвольные команды (arbitrary command execution) в тех же продуктах BeyondTrust PRA и RS. Оба уязвимости, CVE-2024-12686 и CVE-2024-12356, были обнаружены в ходе расследования киберинцидента, произошедшего в начале декабря 2024 года.
Инцидент стал возможен из-за компрометации SaaS API ключа к Remote Support. Используя этот ключ, злоумышленники получили доступ к некоторым экземплярам системы и сбросили локальные пароли приложений. Хотя точный способ компрометации ключа неизвестен, предполагается, что злоумышленники использовали уязвимости нулевого дня. Данный API ключ уже отозван, но последствиями этой атаки стали серьезные неприятности для многих организаций.
Одним из наиболее громких инцидентов, связанных с этой атакой, стало проникновение в сети Министерства финансов США. Эта кибератака признана «крупным инцидентом кибербезопасности». Атаку приписывают китайской государственной группе, известной как Silk Typhoon (она же Hafnium). Целями злоумышленников стали Управление по контролю за иностранными активами (OFAC), Управление финансовых исследований и Комитет по иностранным инвестициям в Соединенных Штатах (CFIUS).
Третья уязвимость, добавленная в каталог KEV, связана с продуктом Qlik Sense (CVE-2023-48365). Эта брешь получила критическую оценку CVSS 9.9. Она позволяет злоумышленникам повышать свои привилегии и отправлять HTTP-запросы на сервер. Данная уязвимость активно эксплуатируется группировкой Cactus, занимающейся программами-вымогателями. CISA установило срок до 3 февраля 2024 года, когда федеральные агентства должны установить патчи для этой уязвимости.
Таким образом, организации должны принять меры для защиты своих систем. CISA настоятельно призывает федеральные агентства немедленно установить патчи для всех этих уязвимостей. Эти три уязвимости представляют собой серьезную угрозу для организаций любого масштаба и подчеркивают важность постоянного мониторинга систем безопасности и оперативного применения обновлений.
Изображение носит иллюстративный характер
Первая из новоиспеченных проблемных зон – уязвимость CVE-2024-12686 в продуктах BeyondTrust Privileged Remote Access (PRA) и Remote Support (RS). Эта брешь, получившая оценку 6.6 по шкале CVSS, относится к категории «средней» опасности, но не стоит ее недооценивать. Суть ее состоит в возможности внедрения команд операционной системы (OS command injection). Злоумышленник, имеющий административные привилегии, способен загрузить вредоносный файл, который позволит ему выполнять команды от имени пользователя сайта. В результате удаленный злоумышленник может получить возможность выполнять команды в контексте пользователя сайта.
Вторая уязвимость BeyondTrust, CVE-2024-12356, уже находилась в списке KEV. Она получила критическую оценку в 9.8 баллов по шкале CVSS. Эта брешь позволяет злоумышленникам выполнять произвольные команды (arbitrary command execution) в тех же продуктах BeyondTrust PRA и RS. Оба уязвимости, CVE-2024-12686 и CVE-2024-12356, были обнаружены в ходе расследования киберинцидента, произошедшего в начале декабря 2024 года.
Инцидент стал возможен из-за компрометации SaaS API ключа к Remote Support. Используя этот ключ, злоумышленники получили доступ к некоторым экземплярам системы и сбросили локальные пароли приложений. Хотя точный способ компрометации ключа неизвестен, предполагается, что злоумышленники использовали уязвимости нулевого дня. Данный API ключ уже отозван, но последствиями этой атаки стали серьезные неприятности для многих организаций.
Одним из наиболее громких инцидентов, связанных с этой атакой, стало проникновение в сети Министерства финансов США. Эта кибератака признана «крупным инцидентом кибербезопасности». Атаку приписывают китайской государственной группе, известной как Silk Typhoon (она же Hafnium). Целями злоумышленников стали Управление по контролю за иностранными активами (OFAC), Управление финансовых исследований и Комитет по иностранным инвестициям в Соединенных Штатах (CFIUS).
Третья уязвимость, добавленная в каталог KEV, связана с продуктом Qlik Sense (CVE-2023-48365). Эта брешь получила критическую оценку CVSS 9.9. Она позволяет злоумышленникам повышать свои привилегии и отправлять HTTP-запросы на сервер. Данная уязвимость активно эксплуатируется группировкой Cactus, занимающейся программами-вымогателями. CISA установило срок до 3 февраля 2024 года, когда федеральные агентства должны установить патчи для этой уязвимости.
Таким образом, организации должны принять меры для защиты своих систем. CISA настоятельно призывает федеральные агентства немедленно установить патчи для всех этих уязвимостей. Эти три уязвимости представляют собой серьезную угрозу для организаций любого масштаба и подчеркивают важность постоянного мониторинга систем безопасности и оперативного применения обновлений.
