BeyondTrust informa que atacantes han comprometido sus productos de soporte remoto.
Es poco probable que el ataque haya afectado a los clientes de BeyondTrust, sin embargo, se recomienda que los usuarios permanezcan en alerta.
BeyondTrust ha confirmado que sufrió un ciberataque tras detectar comportamientos inusuales en su red. Durante una investigación, la empresa descubrió que algunas de sus instancias de Remote Support SaaS habían sido comprometidas. La firma, que se especializa en la gestión de acceso privilegiado y soluciones de acceso remoto seguro, reveló que los atacantes accedieron a una clave API de su servicio Remote Support SaaS, la cual utilizaron para restablecer las contraseñas de cuentas locales.
En respuesta a este incidente, BeyondTrust revokeó la clave API de inmediato, notificó a los clientes afectados y suspendió las instancias comprometidas el mismo día, ofreciendo instancias alternativas de Remote Support SaaS a esos clientes. No obstante, la empresa aclaró que el ataque no se trató de un ransomware.
Además, se identificaron dos vulnerabilidades que fueron corregidas, aunque no parece que estas hayan sido utilizadas en los ataques. Entre los hallazgos, se identificó una severa vulnerabilidad de inyección de comandos que afecta a los productos de Remote Support y Privileged Remote Access (PRA), la cual está registrada como CVE-2024-12356 y posee una puntuación de severidad de 9.8/10. La segunda vulnerabilidad, de severidad media (6.6), está registrada como CVE-2024-12686 y permite a los atacantes con privilegios administrativos inyectar comandos y operar como un usuario del sitio.
Los sistemas comprometidos ofrecen soluciones de soporte remoto escalables y seguras, permitiendo a los profesionales de TI acceder y solucionar de manera remota dispositivos o sistemas, manteniendo estrictas normas de seguridad y cumplimiento. Generalmente, los clientes de BeyondTrust incluyen grandes empresas, agencias gubernamentales, instituciones financieras y gigantes tecnológicos.
Aunque la empresa no mencionó si el ataque afectó a alguno de sus clientes, enfatizó que llevó a cabo una actualización proactiva para los usuarios de Secure Remote Access Cloud, fortaleciendo así sus defensas. La naturaleza específica del ataque aún es desconocida, aunque BeyondTrust confirmó que no se trató de un ataque de ransomware.
