La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el lunes una segunda falla de seguridad que afecta los productos de acceso remoto privilegiado (PRA) y soporte remoto (RS) de BeyondTrust a las vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa en la naturaleza.
La vulnerabilidad en cuestión es CVE-2024-12686 (Puntuación CVSS: 6,6), un error de gravedad media que podría permitir a un atacante con privilegios administrativos existentes inyectar comandos y ejecutarlos como usuario del sitio.
«BeyondTrust Privileged Remote Access (PRA) y Remote Support (RS) contienen una vulnerabilidad de inyección de comandos del sistema operativo que puede ser explotada por un atacante con privilegios administrativos existentes para cargar un archivo malicioso», dijo CISA.
«La explotación exitosa de esta vulnerabilidad puede permitir que un atacante remoto ejecute comandos del sistema operativo subyacente dentro del contexto del usuario del sitio».
La incorporación de CVE-2024-12686 al catálogo KEV se produce casi un mes después de que agregara otra falla de seguridad crítica que afectaba al mismo producto (CVE-2024-12356puntuación CVSS: 9,8) que también podría conducir a la ejecución de comandos arbitrarios.
BeyondTrust dijo que ambas vulnerabilidades fueron descubiertas como parte de su investigación sobre un incidente cibernético a principios de diciembre de 2024 que involucró a actores maliciosos que aprovecharon una clave API SaaS de soporte remoto comprometida para violar algunas de las instancias y restablecer contraseñas para cuentas de aplicaciones locales.
Aunque la clave API ha sido revocada desde entonces, aún se desconoce la forma exacta en que se vio comprometida. Se sospecha que los actores de amenazas explotaron las dos fallas como días cero para ingresar a los sistemas BeyondTrust.
A principios de este mes, el Departamento del Tesoro de EE.UU. reveló su red fue violada utilizando la clave API comprometida en lo que dijo fue un «incidente importante de ciberseguridad». El hack ha sido atribuido a un grupo patrocinado por el estado chino llamado Tifón de seda (también conocido como Hafnio).
Se cree que los actores de la amenaza se dirigieron específicamente a la Oficina de Control de Activos Extranjeros (OFAC) del Tesoro, la Oficina de Investigación Financiera y el Comité de Inversión Extranjera en los Estados Unidos (CFIUS), según múltiples informes de el correo de washington y cnn.
También se agregó al catálogo KEV una vulnerabilidad de seguridad crítica ahora parcheada que afecta a Qlik Sense (CVE-2023-48365, puntuación CVSS: 9.9) que permite a un atacante escalar privilegios y ejecutar solicitudes HTTP en el servidor backend que aloja el software.
Vale la pena señalar que la falla de seguridad ha sido explotada activamente en el pasado por ransomware cactus grupo. Las agencias federales deben aplicar los parches necesarios antes del 3 de febrero de 2024 para proteger sus redes contra amenazas activas.
