
Badan Keamanan Siber dan Infrastruktur AS (CISA) pada hari Senin menambahkan kelemahan keamanan kedua yang berdampak pada produk BeyondTrust Privileged Remote Access (PRA) dan Remote Support (RS) ke dalam katalog Known Exploited Vulnerabilities (KEV), dengan mengutip bukti eksploitasi aktif di alam liar. .
Kerentanan yang dimaksud adalah CVE-2024-12686 (skor CVSS: 6.6), bug dengan tingkat keparahan sedang yang memungkinkan penyerang dengan hak administratif untuk memasukkan perintah dan dijalankan sebagai pengguna situs.

“BeyondTrust Privileged Remote Access (PRA) dan Remote Support (RS) mengandung kerentanan injeksi perintah OS yang dapat dieksploitasi oleh penyerang dengan hak administratif yang ada untuk mengunggah file berbahaya,” kata CISA.
“Eksploitasi yang berhasil atas kerentanan ini dapat memungkinkan penyerang jarak jauh untuk mengeksekusi perintah sistem operasi yang mendasarinya dalam konteks pengguna situs.”
Penambahan CVE-2024-12686 ke katalog KEV terjadi hampir sebulan setelah ia menambahkan kelemahan keamanan penting lainnya yang berdampak pada produk yang sama (CVE-2024-12356, skor CVSS: 9.8) yang juga dapat menyebabkan eksekusi perintah sewenang-wenang.
BeyondTrust mengatakan kedua kerentanan tersebut ditemukan sebagai bagian dari penyelidikannya terhadap insiden dunia maya pada awal Desember 2024 yang melibatkan aktor jahat yang memanfaatkan kunci API SaaS Dukungan Jarak Jauh yang telah disusupi untuk melanggar beberapa contoh, dan menyetel ulang kata sandi untuk akun aplikasi lokal.
Meskipun kunci API telah dicabut, cara pasti bagaimana kunci tersebut disusupi masih belum diketahui. Diduga pelaku ancaman mengeksploitasi kedua kelemahan tersebut sebagai zero-day untuk membobol sistem BeyondTrust.
Awal bulan ini, Departemen Keuangan AS mengungkapkan jaringannya dibobol menggunakan kunci API yang telah disusupi dalam apa yang dikatakannya sebagai “insiden keamanan siber yang besar.” Peretasan tersebut telah disematkan pada kelompok yang disponsori negara Tiongkok bernama Silk Typhoon (alias Hafnium).

Pelaku ancaman diyakini secara khusus menargetkan Kantor Pengawasan Aset Asing (OFAC) Departemen Keuangan, Kantor Riset Keuangan, dan Komite Investasi Asing di Amerika Serikat (CFIUS), menurut beberapa laporan dari Washington Post dan CNN.
Juga ditambahkan ke katalog KEV adalah kerentanan keamanan kritis yang kini telah ditambal yang memengaruhi Qlik Sense (CVE-2023-48365, skor CVSS: 9.9) yang memungkinkan penyerang meningkatkan hak istimewa dan menjalankan permintaan HTTP di server backend yang menghosting perangkat lunak.
Perlu dicatat bahwa kelemahan keamanan telah dieksploitasi secara aktif di masa lalu oleh kelompok ransomware Cactus. Badan-badan federal diwajibkan untuk menerapkan perbaikan yang diperlukan selambat-lambatnya tanggal 3 Februari 2024, untuk mengamankan jaringan mereka dari ancaman aktif.