La CISA met en garde contre une deuxième vulnérabilité BeyondTrust également exploitée à l’état sauvage

Lucas Morel

L’agence américaine de cybersécurité a ajouté une autre vulnérabilité BeyondTrust à son catalogue de vulnérabilités exploitées connues.

L’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté à son catalogue de vulnérabilités exploitées connues une deuxième vulnérabilité de BeyondTrust, qui a été corrigée en décembre. La faille est différente de celle qui a été utilisée pour compromettre les postes de travail du Trésor américain le mois dernier.

Fin décembre, le département du Trésor américain a révélé que des attaquants chinois parrainés par l’État avaient réussi à accéder à certains de ses postes de travail et à obtenir des informations non classifiées. Les attaquants auraient ciblé les bureaux du Trésor qui examinent les investissements étrangers pour détecter les risques pour la sécurité nationale, imposent des sanctions concernant les actifs étrangers et sont responsables de la recherche financière.

Le Trésor a déclaré que l’accès s’était fait via un service d’assistance à distance basé sur le cloud et exploité par BeyondTrust. L’éditeur a ensuite confirmé qu’une clé API de son service SaaS de support à distance avait été compromise et qu’elle était utilisée à partir du 2 décembre pour réinitialiser les mots de passe des comptes d’applications locaux et accéder aux instances d’un nombre limité de clients.

Autres vulnérabilités identifiées lors d’une enquête plus approfondie

Dans le cadre de l’enquête médico-légale qui a suivi, BeyondTrust a identifié deux vulnérabilités qui ont eu un impact sur les déploiements hébergés dans le cloud et auto-hébergés de ses produits Remote Support (RS) et Privileged Remote Access (PRA).

L’une des vulnérabilités, CVE-2024-12356, a été jugée critique avec un score CVSS de 9,8 et a permis à des attaquants non authentifiés d’injecter des commandes exécutées en tant qu’utilisateur du site. La deuxième vulnérabilité, identifiée comme CVE-2024-12686, est également une faille d’injection de commandes, mais elle a été classée avec une gravité moyenne car les attaquants auraient besoin de privilèges d’administrateur pour télécharger des fichiers malveillants et les exploiter.

BeyondTrust a corrigé les deux problèmes dans la version cloud de ses services et a étendu les mises à jour aux instances auto-hébergées le 16 décembre. Il a été conseillé aux utilisateurs dont les mises à jour automatiques étaient désactivées d’appliquer les correctifs manuellement.

La CISA a ajouté la faille critique CVE-2024-12356 à son catalogue de vulnérabilités exploitées connues (KEV) le 19 décembre, une action qui indiquait que l’agence disposait d’informations selon lesquelles elle avait été exploitée dans la nature. Cela a amené certains à penser que c’était probablement la faille exploitée dans l’attaque qui avait conduit à la compromission des postes de travail du Trésor américain.

Deuxième faille également exploitée en pleine nature

Cependant, lundi, CISA a également ajouté la deuxième vulnérabilité à risque moyen, CVE-2024-12686, à KEV. Il n’est pas clair si cela a été exploité dans le cadre des mêmes attaques ou de nouvelles attaques après la divulgation de BeyondTrust. Conformément au mandat de la CISA, les agences gouvernementales ont jusqu’au 3 février pour identifier si leurs déploiements sont vulnérables et s’assurer que les correctifs sont appliqués.

La semaine dernière, dans une mise à jour de son enquête sur la violation du Trésor, la CISA a déclaré qu’elle n’avait aucune indication que d’autres agences gouvernementales avaient été touchées par l’attaque.