b2b-contenthub.com/wp-content/uploads/2023/12/shutterstock_1638562957.jpg?resize=300%2C168&quality=50&strip=all 300w, b2b-contenthub.com/wp-content/uploads/2023/12/shutterstock_1638562957.jpg?resize=768%2C432&quality=50&strip=all 768w, b2b-contenthub.com/wp-content/uploads/2023/12/shutterstock_1638562957.jpg?resize=1024%2C576&quality=50&strip=all 1024w, b2b-contenthub.com/wp-content/uploads/2023/12/shutterstock_1638562957.jpg?resize=1536%2C864&quality=50&strip=all 1536w, b2b-contenthub.com/wp-content/uploads/2023/12/shutterstock_1638562957.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, b2b-contenthub.com/wp-content/uploads/2023/12/shutterstock_1638562957.jpg?resize=1240%2C697&quality=50&strip=all 1240w, b2b-contenthub.com/wp-content/uploads/2023/12/shutterstock_1638562957.jpg?resize=150%2C84&quality=50&strip=all 150w, b2b-contenthub.com/wp-content/uploads/2023/12/shutterstock_1638562957.jpg?resize=854%2C480&quality=50&strip=all 854w, b2b-contenthub.com/wp-content/uploads/2023/12/shutterstock_1638562957.jpg?resize=640%2C360&quality=50&strip=all 640w, b2b-contenthub.com/wp-content/uploads/2023/12/shutterstock_1638562957.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”(max-width: 1024px) 100vw, 1024px” />
Mark Gomez / ShutterstockZum Jahreswechsel musste das US-amerikanische Finanzministerium einräumen, dass es Hackern offenbar gelungen war, in Rechner der Behörde einzudringen und dort Dokumente sowie Daten zu stehlen. Noch ist nicht klar, wie viele Systeme von dem Angriff betroffen waren und in welchem Umfang vertrauliche Informationen abgegriffen wurden. Die Untersuchungen liefen derzeit noch, hieß es. Grundsätzlich habe es sich allerdings um einen schweren Cybersicherheitsvorfall gehandelt, verlautete von Seiten der US-Behörde.In einem Brief an den zuständigen Ausschuss des US-Senats teilte das Finanzministerium mit, dass man am 8. Dezember von BeyondTrust darüber informiert worden sei, dass ein Bedrohungsakteur Zugriff auf einen Schlüssel erlangt habe, der den Fernzugriff des technischen Supports auf die Arbeitsstationen des Finanzministeriums sichert. ‘Aufgrund der verfügbaren Indikatoren wurde der Vorfall einem vom chinesischen Staat gesponserten Advanced-Persistent-Threat- (APT-)Akteur zugeschrieben”, hieß es in dem Brief. Der betroffene Dienst sei offline genommen worden, teilten die Verantwortlichen mit. Außerdem arbeiteten die Cybersecurity and Infrastructure Security Agency (CISA), das Federal Bureau of Investigation (FBI), die Geheimdienste und externe forensische Ermittler daran, ‘den Vorfall vollständig zu beschreiben und seine Gesamtauswirkungen zu bestimmen”.BeyondTrust erklärte in einer Sicherheitswarnung, dass am 2. Dezember bei einem einzelnen Kunden ‘potenziell anomales Verhalten” festgestellt worden sei. Weitere Untersuchungen hätten ergeben, dass eine ‘begrenzte” Anzahl von Remote Support SaaS-Instanzen betroffen seien. Der kompromittierte Schlüssel sei aus dem Verkehr gezogen worden. Die betroffenen Instanzen seien für eine forensische Analyse angehalten und unter Quarantäne gestellt worden. Die betroffenen Kunden hätten alternative Remote Support SaaS-Instanzen erhalten.Das Unternehmen räumte ein, zwei Schwachstellen in seinen Produkten Remote Support und Privileged Remote Access entdeckt zu haben, eine mit kritischem und eine mit mittlerem Schweregrad. Bis zum 16. Dezember seien Cloud-Instanzen gepatcht und Patches für die von Anwendern selbst gehosteten Versionen veröffentlicht worden, teilten die BeyondTrust-Verantwortlichen mit.Bei dem Angriff wurden folgende beiden spezifischen Schwachstellen in der Remote-Support-Software von BeyondTrust ausgenutzt, berichtete der Security-Anbieter Check Point Anfang Januar:
- CVE-2024-12356 (CVSS 9.8): Eine kritische Sicherheitslücke in der BeyondTrust Privileged Remote Access (PRA) und Remote Support (RS) Software, die es Angreifern ermöglicht, sich über nicht ordnungsgemäß validierte API-Endpunkte einen Zugang zu verschaffen.CVE-2024-12686 (CVSS 6.6): Ein zusätzlicher Fehler im Zusammenhang mit der Token-Verwaltung, den Angreifer zur Aufrechterhaltung der Persistenz nutzen.Die Angreifer erbeuteten einen digitalen Signierschlüssel für die Software, der es ihnen ermöglichte, sich als legitime Benutzer mit privilegiertem Zugang auszugeben. Auf diese Weise hätten die Hacker auf nicht klassifizierte Arbeitsstationen und Dokumente in den Systemen des Finanzministeriums zugreifen und sensible, aber nicht klassifizierte Daten kompromittieren können. Organisationen überall auf der Welt, die dieselbe Software einsetzen, seien dem Risiko ähnlicher oder noch schwerwiegenderer Sicherheitsverletzungen ausgesetzt, warnten die Sicherheitsexperten von Check Point.
Patch-Management muss oberste Priorität haben
Um derartigen Risiken vorzubeugen, müssten Anwenderunternehmen besonderes Augenmerk auf die Patch-Verwaltung und die Behebung von Sicherheitslücken legen, rät der Anbieter von Sicherheitslösungen. Es gelte sicherzustellen, dass Software von Drittanbietern regelmäßig aktualisiert werde. Auch auf Updates und Hinweise der Anbieter müsse genau geachtet werden. Hilfreich seien beispielsweise Systeme zur Verwaltung von Sicherheitslücken, um kritische CVEs zu identifizieren und zu priorisieren, sowie Programme zur Verwaltung externer Angriffssysteme (EASM), um relevante Schwachstellen zu priorisieren und zu beheben, bevor sie von Angreifern entdeckt werden.Schwachstellen managen: Die 6 besten Vulnerability-Management-ToolsGanz ausschließen ließen sich Angriffe, wie der auf das US-Finanzministerium jedoch nicht. In der Regel seien es nicht die sichtbaren Schwachstellen, sondern die bislang unbekannten, die derartige Attacke ermöglichten, hieß es von Seiten der Check-Point-Verantwortlichen. Der Anbieter empfiehlt eine Kombination aus vorausschauendem Schwachstellen-Management, einer Echtzeit-Überwachung und Defense-in-Depth-Strategie, um die Risiken ähnlicher Angriffe kontinuierlich zu mindern.
First seen on csoonline.com
Jump to article: www.csoonline.com/article/3632744/chinesische-hacker-attackieren-us-finanzministerium.html
