BeyondTrust’da aniqlangan yangi zaiflik yordamida mijozlarning maxfiy API kalitlari o’g’irlandi

Bugungi kunda kibertahdidlar kundan kunga murakkablashib, yirik texnologik kompaniyalarga qarshi olib borilayotgan hujumlar yanada xavfli tus olmoqda. Shu yilning boshlarida, dunyoning yetakchi identifikatsiya va kirish huquqlarini boshqarish (IAM) sohasidagi kompaniyalardan biri bo‘lgan BeyondTrust kiberjinoyatchilar hujumiga uchradi. Ushbu hujum natijasida Remote Support SaaS platformasidan foydalanuvchi 17 mijoz zarar ko‘rdi va ularning infrastrukturaviy API kalitlari o‘g‘irlab ketildi.

Mazkur kiberhujumni Silk Typhoon (sobiq Hafnium) nomli, Xitoy bilan bog‘liq bo‘lgan tajovuzkor kiberjosuslik guruhi amalga oshirgani taxmin qilinmoqda. Ushbu tahdid isbotlangach, AQShning federal agentliklari va huquq-tartibot idoralari tekshiruvni boshladi. BeyondTrust esa ushbu tajovuzni bartaraf etish uchun zudlik bilan xavfsizlik choralari ko‘rdi.

Hujum qanday amalga oshirildi? Dastlab, BeyondTrust Remote Support SaaS tizimida g‘ayritabiiy harakatlar aniqlangan. Shundan so‘ng, o’tkazilgan chuqur tahlillar natijasida hujumchilar uchinchi tomon ilovasidagi yangi (zero-day) zaiflik orqali infrastrukturaviy API kalitini qo‘lga kiritgani aniqlandi. Bu kalitdan foydalanib, hujumchilar mahalliy ilova parollarini qayta o‘rnatish va Remote Support SaaS tizimlariga ruxsatsiz kirish imkoniga ega bo‘ldi.

Tekshiruv davomida ikkita xavfli zaiflik aniqlangan:

CVE-2024-12356 – Kritik buyruq injeksiya (command injection) zaifligi, bu orqali autentifikatsiyadan o‘tmagan hujumchilar masofaviy tarzda operatsion tizim buyruqlarini bajarishi mumkin.
CVE-2024-12686 – O‘rtacha darajadagi zaiflik, bu esa tizimga administrator huquqlari bilan kirgan hujumchiga zararli fayllarni yuklab, tizimda buyruqlar bajartirish imkonini beradi.

Mazkur zaifliklar allaqachon yovvoyi muhitda ekspluatatsiya qilingan, ya’ni hujumchilar ularni faol ravishda ishlatgan. Shu sababli, BeyondTrust barcha bulutga asoslangan (cloud-based) tizimlari uchun yangilanishlar chiqarib, o‘z serverlarida mustaqil ishlaydigan mijozlar uchun ushbu tuzatishlarni qo‘lda o‘rnatishni qat’iy tavsiya qildi.

Ushbu tahdid Silk Typhoon tomonidan amalga oshirilgani tasdiqlangan bo‘lib, ular o‘g‘irlangan API kaliti yordamida AQSh Moliya vazirligining maxfiy bo‘lmagan (unclassified) ma’lumotlariga ham kirishgani haqida xabar berildi.

BeyondTrust quyidagi choralarni ko‘rdi:

✔ Kompramatsiyalangan API kalitini bekor qildi;

✔ Zarar ko‘rgan mijozlarning SaaS tizimlarini izolyatsiya qildi va ularga muqobil muhit yaratib berdi;

✔ Tergov olib borish uchun uchinchi tomon kiberxavfsizlik firmasi bilan hamkorlik qildi;

✔ Federal huquq-tartibot organlari bilan hamkorlik qilib, tahdid haqida tegishli ma’lumotlarni taqdim etdi;

✔ Aniqlangan zaifliklar bo‘yicha barcha SaaS mijozlari uchun yangilanishlar chiqardi;

✔ Hujumga uchragan mijozlarga zaruriy logs, IOCs (zararli faoliyat belgilari) va boshqa tekshiruv natijalarini yetkazdi.

BeyondTrust shuningdek, quyidagi xavfsizlik choralari ko‘rilishini tavsiya etadi:

✅ O‘z tizimlaringizni muntazam ravishda yangilab boring;

✅ Mahalliy akkauntlardan foydalanish o‘rniga, autentifikatsiya uchun SAML kabi tashqi xizmatlardan foydalaning;

✅ Sessiya faoliyatlari uchun chiqish bildirishnomalarini sozlang;

✅ Tizim monitoringi uchun SIEM (Security Information and Event Management) platformalarini integratsiya qiling;

✅ Foydalanuvchilarga minimal huquqlar berish tamoyiliga rioya qiling (least privilege principle).

Ushbu kiberhujum zamonaviy tahdidlarning qanchalik xavfli va murakkab ekanini yana bir bor isbotladi. Xususan, API kalitlari kabi noan’anaviy autentifikatsiya vositalari, agar kerakli darajada himoyalanmasa, jiddiy oqibatlarga olib kelishi mumkin.

Shuning uchun barcha tashkilotlar quyidagi asosiy xavfsizlik qoidalariga rioya qilishlari shart:

API kalitlarini cheklangan vaqtda ishlash sharti bilan yaratish;
Ularning harakat doirasini qat’iy chegaralash;
API foydalanish faoliyatini muntazam ravishda monitoring qilish;
Xavfsizlik devorlari (firewall) va SIEM tizimlari orqali shubhali harakatlarni kuzatib borish.

BeyondTrust kompaniyasiga qilingan ushbu hujum, juda ko’p mijozlarning xavfsizligiga tahdid soldi va yangi (zero-day) zaifliklarining qanchalik jiddiy ekanligini yana bir bor isbotladi. Kibermuhitda bunday xurujlardan himoyalanish uchun kompaniyalar o‘z tizimlarini doimiy ravishda yangilash, xavfsizlik protokollariga qat’iy rioya qilish va monitoring tizimlarini takomillashtirishlari lozim.

Xavfsizlikni ta’minlash har bir tashkilotning asosiy vazifasi bo‘lishi kerak!

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

BeyondTrust’da aniqlangan yangi zaiflik yordamida mijozlarning maxfiy API kalitlari o’g’irlandi

CL0P Ransomware guruhi telekommunikatsiya va sogʻliqni saqlash sektorlariga keng koʻlamli hujumlar uyushtirmoqda

Apache Ignite’da aniqlangan kritik zaiflik masofadan kod bajarish imkonini berishi mumkin

Active Directory pentesting uchun yangi vosita: KeyCredentialLink boshqaruvi