Das US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat zwei kürzlich entdeckte Schwachstellen in BeyondTrust-Produkten in sein Verzeichnis der bekannten verwundbaren Angriffspunkte (KEV-Katalog) aufgenommen. Dieser Schritt bedeutet, dass CISA Beweise dafür gesehen hat, dass die Schwachstellen aktiv von Angreifern ausgenutzt wurden, wodurch Bundesbehörden eine Frist gesetzt wurde, um die Software zu aktualisieren oder sie vollständig einzustellen. Ende Dezember 2024 bestätigte BeyondTrust, Opfer eines Cyberangriffs geworden zu sein, nachdem festgestellt wurde, dass einige seiner Remote Support SaaS-Instanzen kompromittiert wurden. Bei der nachfolgenden Untersuchung wurden diese beiden Schwachstellen entdeckt, die das Unternehmen später behoben hat.

Die Schwachstellen sind als CVE-2024-12686 und CVE-2024-12356 gekennzeichnet. Erstere ist eine Schwachstelle mittlerer Schwere (Bewertung 6,6), die als Fehler in Privileged Remote Access (PRA) und Remote Support (RS) beschrieben wird und es böswilligen Akteuren mit vorhandenen Admin-Berechtigungen ermöglicht, Befehle einzufügen und als Benutzer der Website auszuführen. Letztere ist eine kritische Schwachstelle, die einem nicht authentifizierten Angreifer ermöglichen kann, Befehle einzufügen, die als Benutzer der Website ausgeführt werden. Ihr wurde eine Schweregradsbewertung von 9,8 (kritisch) zugewiesen. CVE-2024-12356 wurde am 19. Dezember KEV hinzugefügt, während CVE-2024-12686 am 13. Januar. Das bedeutet, dass Benutzer bis zum 9. Januar die erste Schwachstelle beheben mussten und bis zum 3. Februar 2025 Zeit haben, die zweite Schwachstelle zu beheben.

Die Nachricht kommt, nachdem das US-Finanzministerium Anfang Januar 2025 von einem Cyberangriff betroffen war, bei dem die Angreifer, die angeblich Teil der berüchtigten Cyber-Spionagegruppe Silk Typhoon sind, einen gestohlenen API-Schlüssel für Remote Support SaaS nutzten, um eine BeyondTrust-Instanz zu kompromittieren. Silk Typhoon ist vor allem bekannt dafür, dass sie Anfang 2021 etwa 68.500 Server mit Microsoft Exchange Server ProxyLogon Zero-Days angriffen. Silk Typhoon ist Teil eines breiteren Netzwerks von „Typhoon“-Gruppen – Volt Typhoon, Salt Typhoon, Flax Typhoon und Brass Typhoon. Salt Typhoon wurde kürzlich mit einer Reihe von prominenten Verstößen in Verbindung gebracht, darunter mindestens vier große US-Telekommunikationsbetreiber.

Via BleepingComputer.