通过折衷的API密钥,超越Trust Zero-Day违规暴露了17个SaaS客户
BeyondTrust透露,它完成了对最近的网络安全事件的调查,该事件通过使用折衷的API密钥来针对公司的某些远程支持SaaS实例。
超越零日违规
BeyondTrust透露,它完成了对最近的网络安全事件的调查,该事件通过使用折衷的API密钥来针对公司的某些远程支持SaaS实例。
该公司表示,违规行为涉及17个远程支持SaaS客户,并且使用API密钥来通过重置本地应用程序密码来实现未经授权的访问。违规行为于2024年12月5日首次标记。
该公司本周表示: “调查确定,第三方申请的零日脆弱性用于在BeyondTrust AWS帐户中访问在线资产。”
“然后,访问该资产允许威胁参与者获得基础架构API密钥,然后可以根据操作远程支持基础架构的单独的AWS帐户来利用该密钥。”
网络安全
美国访问管理公司没有命名为获取API密钥的探索的应用程序,但该调查在其自己的产品中发现了两个分开的(CVE-2024-12356和CVE-2024-12686)。
此后,BeyondTrust撤销了受损的API密钥,并暂停了所有已知的受影响的客户实例,同时还为他们提供了替代性远程支持SaaS实例。
值得注意的是,美国网络安全和基础设施安全局(CISA)将CVE-2024-12356和CVE-2024-12686添加到其已知的被剥削漏洞(KEV)目录中,引用了野外主动剥削的证据。目前尚不清楚恶意活动的确切细节。
该发展是因为美国财政部表示这是受影响的当事方之一。没有其他联邦机构受到影响。
这些袭击归因于一个以中国链接的黑客式小组称为“丝绸台风”(以前是哈凡恩),该机构因涉嫌涉嫌涉嫌违反财政部的部门网络而对上海的网络演员Yin Kecheng施加了制裁。
BeyondTrust透露,它完成了对最近的网络安全事件的调查,该事件通过使用折衷的API密钥来针对公司的某些远程支持SaaS实例。
该公司表示,违规行为涉及17个远程支持SaaS客户,并且使用API密钥来通过重置本地应用程序密码来实现未经授权的访问。违规行为于2024年12月5日首次标记。
该公司本周表示: “调查确定,第三方申请的零日脆弱性用于在BeyondTrust AWS帐户中访问在线资产。”
“然后,访问该资产允许威胁参与者获得基础架构API密钥,然后可以根据操作远程支持基础架构的单独的AWS帐户来利用该密钥。”
网络安全
美国访问管理公司没有命名为获取API密钥的探索的应用程序,但该调查在其自己的产品中发现了两个分开的(CVE-2024-12356和CVE-2024-12686)。
此后,BeyondTrust撤销了受损的API密钥,并暂停了所有已知的受影响的客户实例,同时还为他们提供了替代性远程支持SaaS实例。
值得注意的是,美国网络安全和基础设施安全局(CISA)将CVE-2024-12356和CVE-2024-12686添加到其已知的被剥削漏洞(KEV)目录中,引用了野外主动剥削的证据。目前尚不清楚恶意活动的确切细节。
该发展是因为美国财政部表示这是受影响的当事方之一。没有其他联邦机构受到影响。
这些袭击归因于一个以中国链接的黑客式小组称为“丝绸台风”(以前是哈凡恩),该机构因涉嫌涉嫌涉嫌违反财政部的部门网络而对上海的网络演员Yin Kecheng施加了制裁。
关于作者
评论0次