0
0
권한 있는 액세스 관리 회사인 BeyondTrust는 2024년 12월 초에 사이버 공격을 보고했습니다. 회사는 12월 2일에 네트워크에서 비정상적인 활동을 감지했습니다. 조사 결과 위협 행위자가 원격 지원 SaaS 인스턴스 중 일부를 침해한 것으로 확인되었습니다.
공격자는 손상된 API 키를 사용하여 로컬 애플리케이션 계정의 비밀번호를 재설정했습니다. BeyondTrust는 “제한된 수의” 원격 지원 SaaS 고객이 영향을 받았다고 밝혔습니다. 12월 5일 회사는 API 키를 취소하고 영향을 받은 고객에게 알리고 영향을 받은 인스턴스를 일시 중지했습니다.
해당 고객에게는 대체 원격 지원 SaaS 인스턴스가 제공되었습니다. 해커가 손상된 인스턴스를 사용하여 다운스트림 고객을 침해했는지 여부는 확실하지 않습니다. 그러나 이 사건으로 인해 두 가지 치명적인 취약점이 드러났습니다.
첫 번째 CVE-2024-12356은 원격 지원 및 권한 있는 원격 액세스 제품에 영향을 미치는 심각한 명령 주입 결함입니다. 이를 통해 인증되지 않은 원격 공격자가 운영 체제 명령을 실행할 수 있습니다. 두 번째 문제인 CVE-2024-12686은 심각도가 중간인 취약점입니다.
BeyondTrust는 심각한 보안 취약점을 식별합니다.
이를 통해 관리자 권한을 가진 공격자가 명령을 주입하고 악성 파일을 업로드할 수 있습니다. BeyondTrust는 이러한 결함에 대한 적극적인 악용을 확인하지 않았습니다.
두 가지 취약점에 대한 패치가 모든 클라우드 인스턴스에 자동으로 적용되었습니다. 자체 호스팅 인스턴스를 사용하는 고객은 시스템을 수동으로 업데이트해야 합니다. BeyondTrust는 조사가 진행 중이며 업데이트가 제공될 것이라고 확신했습니다.
회사는 이번 침입 과정에서 랜섬웨어가 발생한 적이 없다고 강조했습니다. BeyondTrust는 “현재까지 랜섬웨어 사례는 발생하지 않았습니다. 조사가 진행 중이며, 철저한 조사를 수행하기 위해 독립적인 제3자 사이버 보안 회사와 협력하고 있습니다.”
CISA는 나중에 CVE-2024-12356이 공격에 악용되었음을 확인했지만 추가 세부 정보는 공유하지 않았습니다.
연방 기관은 일주일 이내에 심각한 취약점을 패치할 것을 촉구하고 있습니다. 이 문제는 최대 24.3.1의 모든 PRA 및 RS 버전에 영향을 미칩니다.
BeyondTrust는 클라우드 고객을 위한 수정 사항을 출시하고 온프레미스 설치를 위한 패치를 출시했습니다. 회사는 모든 고객 인스턴스를 완전히 업데이트하고 안전하게 유지하는 데 중점을 두고 있습니다.
독립적인 사이버 보안 회사의 지원을 받아 사건을 계속 조사하고 있습니다.
(이것은 신디케이트된 뉴스피드에서 편집되지 않은 자동 생성된 기사입니다. 파이에듀뉴스 직원이 콘텐츠 텍스트를 변경하거나 편집하지 않았을 수 있습니다.)
