La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha recentemente aggiunto una seconda vulnerabilità che impatta i prodotti BeyondTrust Privileged Remote Access (PRA) e Remote Support (RS) al catalogo delle Vulnerabilità Sfruttate Conosciute (KEV), a causa di prove di sfruttamento attivo. La vulnerabilità in questione è identificata come CVE-2024-12686, con un punteggio di gravità CVSS di 6.6. Questo difetto di media gravità permette a un attaccante con privilegi amministrativi esistenti di iniettare comandi e operare come utente del sito.

CISA ha dichiarato che i prodotti BeyondTrust contengono una vulnerabilità di iniezione di comandi del sistema operativo, che può essere sfruttata da un attaccante per caricare un file dannoso. L'esito dello sfruttamento riuscito di questa vulnerabilità può permettere a un attaccante remoto di eseguire comandi del sistema operativo sottostante nel contesto dell'utente del sito.

L'inclusione di CVE-2024-12686 nel catalogo KEV avviene quasi un mese dopo l'aggiunta di un altro grave difetto di sicurezza nei medesimi prodotti, noto come CVE-2024-12356, con un punteggio CVSS di 9.8. Anche questa vulnerabilità potrebbe portare all'esecuzione di comandi arbitrari. BeyondTrust ha affermato che entrambe le vulnerabilità sono state scoperte durante un'indagine su un incidente informatico avvenuto all'inizio di dicembre 2024. Gli attori malevoli avrebbero sfruttato una chiave API SaaS di supporto remoto compromessa per violare alcune istanze e reimpostare password per account applicativi locali.

La chiave API è stata successivamente revocata, ma il modo esatto in cui è stata compromessa rimane sconosciuto. È sospettato che gli attori della minaccia abbiano sfruttato le due vulnerabilità come zero-day per infiltrarsi nei sistemi BeyondTrust.

All'inizio di questo mese, il Dipartimento del Tesoro degli Stati Uniti ha rivelato che la sua rete è stata violata utilizzando la chiave API compromessa in quello che ha definito un "grave incidente di sicurezza informatica". L'attacco è stato attribuito a un gruppo sponsorizzato dallo stato cinese noto come Silk Typhoon (noto anche come Hafnium).

Gli attori della minaccia avrebbero specificamente preso di mira l'Office of Foreign Assets Control (OFAC), l'Office of Financial Research e il Committee on Foreign Investment negli Stati Uniti (CFIUS), secondo diversi rapporti di Washington Post e CNN.

Nel catalogo KEV è stata aggiunta anche una vulnerabilità di sicurezza critica ora corretta, che colpisce Qlik Sense (CVE-2023-48365, punteggio CVSS: 9.9), che consente a un attaccante di aumentare i privilegi ed eseguire richieste HTTP sul server di backend che ospita il software. È importante notare che questa vulnerabilità di sicurezza è stata sfruttata attivamente in passato dal gruppo ransomware Cactus.

Le agenzie federali sono tenute ad applicare le patch necessarie entro il 3 febbraio 2024 per proteggere le loro reti contro le minacce attive.