CISA ajoute une deuxième vulnérabilité de BeyondTrust au catalogue KEV
CISA (Cybersecurity and Infrastructure Security Agency) exhorte les agences fédérales à corriger une faille d’injection de commande, identifiée sous le code CVE-2024-12686 (également appelée BT24-11), après l’avoir ajoutée à son catalogue des vulnérabilités exploitées connues (KEV). Cette vulnérabilité de gravité moyenne a été découverte dans le cadre d’une enquête de sécurité menée par BeyondTrust sur son service SaaS de support à distance, suite à une importante violation de données au Département du Trésor américain.
Contexte de la découverte
En décembre 2024, le groupe de piratage chinois Silk Typhoon a mené une cyberattaque contre le Département du Trésor, exploitant une vulnérabilité dans un logiciel tiers pour accéder aux identifiants des postes de travail et voler des données. En réponse, BeyondTrust a lancé une enquête approfondie sur la sécurité de ses produits, ce qui a conduit à la découverte de la vulnérabilité BT24-11. Celle-ci affecte à la fois les versions cloud et auto-hébergées des produits Remote Support et Privileged Remote Access de BeyondTrust.
Deux jours avant de signaler BT24-11, BeyondTrust avait déjà identifié une autre vulnérabilité, BT24-10, démontrant l’intensité des efforts de l’entreprise pour renforcer la sécurité de ses solutions.
État des correctifs
Dans une mise à jour publiée le 6 janvier, BeyondTrust a annoncé que son enquête médico-légale était presque terminée et que toutes les instances cloud de son service Remote Support avaient été corrigées. Aucune nouvelle victime n’a été identifiée depuis l’application des correctifs. L’entreprise a également publié un correctif pour les versions auto-hébergées de ses produits.
"Toutes les instances cloud ont été corrigées pour cette vulnérabilité", a déclaré BeyondTrust. "Nous avons également publié un correctif pour les versions auto-hébergées."
Impact de la vulnérabilité
Impact de la vulnérabilité Selon CISA, la vulnérabilité BT24-11 permet à un attaquant disposant de privilèges administratifs existants d’injecter des commandes et d’exécuter du code en tant qu’utilisateur du site. Cela pourrait permettre à un attaquant distant d’exécuter des commandes au niveau du système d’exploitation sous-jacent, ouvrant la porte à des actions malveillantes telles que l’exfiltration de données ou l’installation de logiciels malveillants
Pourquoi cette vulnérabilité est critique
L’ajout de BT24-11 au catalogue KEV de CISA souligne l’importance de corriger rapidement cette faille. Le catalogue KEV répertorie les vulnérabilités activement exploitées dans la nature, ce qui en fait une ressource essentielle pour les organisations cherchant à prioriser leurs efforts de correction. Les agences fédérales américaines sont tenues de corriger les vulnérabilités listées dans le catalogue KEV dans un délai imparti, afin de réduire les risques pour la sécurité nationale.
Recommandations de CISA
CISA recommande aux organisations utilisant les produits affectés de BeyondTrust d’appliquer immédiatement les correctifs disponibles. Les utilisateurs des versions cloud de Remote Support n’ont aucune action à entreprendre, car les correctifs ont déjà été déployés. Cependant, les utilisateurs des versions auto-hébergées doivent s’assurer d’installer la mise à jour fournie par BeyondTrust.
Une réponse proactive face aux menaces persistantes
Cette situation met en lumière l’importance d’une réponse rapide et coordonnée face aux vulnérabilités critiques. BeyondTrust a démontré une réactivité notable en identifiant et en corrigeant la faille, tout en collaborant avec les autorités pour limiter les impacts. Cependant, l’incident rappelle également que les logiciels tiers peuvent représenter un vecteur d’attaque privilégié pour les groupes de piratage étatiques, comme Silk Typhoon.
En conclusion, la correction de BT24-11 est une étape cruciale pour renforcer la sécurité des systèmes affectés. Les organisations doivent rester vigilantes et appliquer les correctifs de sécurité dès leur disponibilité pour se protéger contre les menaces persistantes et évolutives.