- BeyondTrust dice que detectó un ataque a principios de diciembre de 2024
- Descubrió que algunas instancias de SaaS de soporte remoto se habían visto comprometidas
- También encontré y solucioné dos errores de día cero.
BeyondTrust confirmó que sufrió recientemente un ciberataque tras detectar un “comportamiento anormal” en su red y revelar que algunas instancias SaaS de soporte remoto se habían visto comprometidas.
En un anuncio publicado en su sitio web, la compañía, que proporciona gestión de acceso privilegiado (PAM) y soluciones de acceso remoto seguro, dijo que una investigación posterior reveló que los actores de amenazas habían accedido a la clave API SaaS de soporte remoto, que utilizaron para restablecer el local. cuenta de la aplicación. Contraseñas.
“BeyondTrust revocó inmediatamente la clave API, notificó a los clientes afectados conocidos y suspendió esas instancias el mismo día mientras proporcionaba instancias SaaS de soporte remoto de reemplazo a esos clientes”, dijo la compañía en su anuncio.
No fue ransomware
La compañía dijo que encontró dos vulnerabilidades y las solucionó. Sin embargo, estas vulnerabilidades no parecen haber sido utilizadas en ataques.
Sin embargo, la investigación de BeyondTrust ha descubierto una vulnerabilidad crítica de inyección de comandos que afecta a los productos Remote Support (RS) y Privileged Remote Access (PRA). Esta falla se rastrea como CVE-2024-12356 y tiene una puntuación de gravedad de 9,8/10 (crítica).
La segunda falla es de gravedad moderada, con una puntuación de 6,6 y se rastrea como CVE-2024-12686. Permite a los atacantes con privilegios de administrador existentes inyectar y ejecutar comandos como usuario del sitio en acceso remoto privilegiado (PRA) y soporte remoto (RS).
Disponibilidad de casos nubes– Soluciones alojadas para soporte remoto seguro y escalable, que permiten a los profesionales de TI y centros de servicio acceder de forma remota y solucionar problemas de dispositivos o sistemas mientras se mantienen estrictos estándares de seguridad y cumplimiento. Los clientes típicos de BeyondTrust son grandes corporaciones, agencias gubernamentales, instituciones financieras, gigantes tecnológicos y similares.
La compañía no dijo si el ataque se había extendido a algún cliente de BeyondTrust, pero confirmó que había “completado de manera proactiva” una actualización para los clientes de Secure Remote Access Cloud, para reforzar sus defensas.
De momento se desconoce la naturaleza del ataque, pero la empresa lo ha confirmado. pitidocomputadora No fue un rescate.
a través de pitidocomputadora