Новая уязвимость BeyondTrust: похищены конфиденциальные API-ключи клиентов

В современном мире киберугрозы становятся все сложнее, а атаки на крупные технологические компании – все более опасными. В начале этого года одна из ведущих компаний в сфере управления идентификацией и доступом (IAM), BeyondTrust, подверглась атаке киберпреступников. В результате атаки пострадали 17 клиентов платформы Remote Support SaaS, у которых были похищены инфраструктурные API-ключи.

Предполагается, что данную кибератаку совершила китайская хакерская группа Silk Typhoon (ранее Hafnium), занимающаяся кибершпионажем. После подтверждения угрозы федеральные агентства США и правоохранительные органы начали расследование. В свою очередь, BeyondTrust приняла срочные меры для устранения последствий атаки.

Как произошла атака?

Сначала в системе BeyondTrust Remote Support SaaS была обнаружена подозрительная активность. После детального анализа выяснилось, что злоумышленники использовали новую (zero-day) уязвимость в стороннем приложении, что позволило им получить инфраструктурный API-ключ. С его помощью атакующие смогли сбросить локальные пароли приложений и получить несанкционированный доступ к системе Remote Support SaaS.

В ходе расследования были выявлены две уязвимости:

  • CVE-2024-12356критическая уязвимость внедрения команд (command injection), позволяющая неаутентифицированным атакующим удаленно выполнять команды операционной системы.
  • CVE-2024-12686уязвимость средней степени опасности, позволяющая атакующему с правами администратора загружать вредоносные файлы и выполнять команды в системе.

Эти уязвимости уже активно эксплуатировались в реальной среде, поэтому BeyondTrust выпустила обновления для всех облачных систем и настоятельно рекомендовала клиентам, использующим локальные версии, установить исправления вручную.

Атака группы Silk Typhoon была подтверждена, и стало известно, что с помощью похищенного API-ключа злоумышленники получили доступ к неклассифицированным данным Министерства финансов США.

Какие меры предприняла BeyondTrust?

✔ Аннулировала скомпрометированный API-ключ;
✔ Изолировала пострадавшие SaaS-системы клиентов и предоставила альтернативные среды;
✔ Привлекла стороннюю компанию по кибербезопасности для расследования;
✔ Взаимодействовала с правоохранительными органами и передала им всю необходимую информацию;
✔ Выпустила обновления безопасности для всех клиентов SaaS;
✔ Предоставила пострадавшим клиентам журналы событий, индикаторы компрометации (IOCs) и другие артефакты расследования.

Рекомендации BeyondTrust по защите данных:

✅ Регулярно обновляйте системы и устанавливайте последние исправления безопасности;
✅ Используйте внешние провайдеры аутентификации (например, SAML) вместо локальных учетных записей;
✅ Настройте уведомления о подозрительных действиях в системе;
✅ Интегрируйте систему с SIEM для мониторинга аномальной активности;
✅ Соблюдайте принцип минимальных привилегий для пользователей и точек доступа.

Выводы

Эта кибератака еще раз подтвердила, насколько сложны и опасны современные киберугрозы. В частности, API-ключи, являющиеся неклассическим методом аутентификации, при ненадлежащей защите могут привести к серьезным последствиям.

Для защиты от подобных атак организациям необходимо:

🔹 Создавать API-ключи с ограниченным сроком действия;
🔹 Четко ограничивать диапазон их использования;
🔹 Постоянно мониторить активность API;
🔹 Использовать брандмауэры и SIEM-системы для выявления подозрительной активности.

Атака на BeyondTrust поставила под угрозу безопасность многих клиентов и доказала, насколько серьезны zero-day уязвимости. Чтобы защититься от подобных угроз, компании должны регулярно обновлять свои системы, следовать строгим принципам безопасности и использовать современные технологии мониторинга.

Обеспечение кибербезопасности – это приоритет каждой организации!

Перейти к содержимому