MàJ : BeyondTrust nous fait part de sa réaction :
« BeyondTrust a déjà identifié et pris des mesures pour remédier à un incident de sécurité au début du mois de décembre 2024 qui impliquait le produit Remote Support. BeyondTrust a notifié le nombre limité de clients concernés, et a travaillé pour soutenir ces clients depuis lors. Aucun autre produit BeyondTrust n'a été impliqué. Les forces de l'ordre ont été informées et BeyondTrust soutient les efforts d'investigation. BeyondTrust a publié des informations concernant l'incident et l'enquête en cours sur son site web le 8 décembre 2024, y compris un résumé, une chronologie et des indicateurs. L'avis de sécurité a été mis à jour depuis lors dans le cadre de l'engagement de BeyondTrust à informer ses clients jusqu'à la fin de l'affaire ».
-----
Dans une lettre adressée au Comité sénatorial des banques, le département du Trésor des États-Unis indique avoir été victime début décembre d'un incident majeur de cybersécurité. Une gravité qui tient à la paternité de la cyberattaque. Elle est attribuée à un acteur de menace persistante avancée (APT) soutenu par la Chine.
L'attaquant a pu accéder à distance à certains postes de travail d'utilisateurs dans les bureaux du Trésor américain et à certains documents non classifiés conservés par ces utilisateurs. Des détails supplémentaires sur les intrusions seront apportés dans les 30 jours.
Concernant l'origine de la cyberattaque, le département du Trésor évoque le vol d'une clé utilisée par BeyondTrust afin de sécuriser un service cloud permettant de fournir à distance un support technique aux utilisateurs finaux dans les bureaux ministériels.
Un client d'une des instances compromises
Le Trésor américain a été alerté par BeyondTrust le 8 décembre. « Le service compromis de BeyondTrust a été mis hors ligne et, à l'heure actuelle, rien n'indique que l'acteur de la menace a continué à accéder aux informations du Trésor », peut-on lire dans la missive (PDF ; Axios).
Spécialisée dans la gestion des accès à privilèges, la société BeyondTrust avait communiqué sur un incident de sécurité impliquant un nombre limité de clients et la compromission d'une clé API SaaS de support à distance. Rapidement révoquée, cette clé a néanmoins permis à l'attaquant de réinitialiser des mots de passe de comptes d'application locaux et d'obtenir un accès privilégié aux systèmes.
Dans le cadre de son enquête sur l'attaque, BeyondTrust a découvert une vulnérabilité critique CVE-2024-12356 et une vulnérabilité CVE-2024-12686 de dangerosité moyenne. De type injection de commande, elles affectaient ses produits Remote Support (RS) et Privileged Remote Access (PRA). Un correctif a été déployé pour tous les clients cloud le 16 décembre.
La Chine s'offusque
L'attribution de la cyberattaque à un groupe APT soutenu financièrement par la Chine se base sur les indicateurs de compromission disponibles, sans plus d'explications. Aucun nom particulier n'est divulgué pour le moment.
« La Chine s'est toujours opposée à toutes formes d'attaques informatiques », a déclaré un porte-parole du ministère chinois des Affaires étrangères (Reuters). Pour un porte-parole de l'ambassade de Chine à Washington, « les attaques diffamatoires des États-Unis contre la Chine ne reposent sur aucune base factuelle. »
