BeyondTrust 远程支持服务的安全漏洞

重点信息

美国财政部称，第三方服务提供商 BeyondTrust 的密钥被盗，导致了对未分类数据的访问。本次事件被认定为“重大网络安全事件”，并被归因于中国国家支持的高级持续威胁APT行为者。调查仍在进行中，并已采取措施防止进一步的安全漏洞。

图片来源：Shutterstock

美国财政部在周一披露，一名攻击者绕过了安全措施，访问了一定数量的财政部工作站，并盗取了“某些未分类的文件”。该事件被称为“重大网络安全事件”。

旋风加速器 官网

在给美国参议院银行、住房和城市事务委员会的信函中，财政部表示，BeyondTrust 于12月8日通知其网络事件，称某个威胁行为者获得了管理远程技术支持访问财政部工作站的密钥。

“根据现有的指标，这一事件被归因于中国国家支持的高级持续威胁APT行为者，”信中指出，并补充道，“根据财政部政策，可归因于 APT 的入侵被视为重大网络安全事件。”

Beauceron Security 的首席执行官兼联合创始人 David Shipley 在电子邮件中指出：“这符合中国国家支持的黑客团队利用供应链攻击美国政府的模式。这是对微软生产力云解决方案的高度成功攻击之后，又一起与俄罗斯相关的攻击美国政府的事件。”

财政部的信中提到，受影响的服务已被下线，并且网络安全和基础设施安全局CISA、联邦调查局FBI、情报界以及第三方取证调查人员正在努力“全面评估事件并确定其总体影响”。

Shipley 观察到：“这件事让人感到好奇，它们可能在追求什么？这仅仅是普通的间谍活动吗？还是它们试图为持续存在和破坏美国政府的运作铺平道路？如果只是简单的间谍活动，我的担忧会少一些。”

财政部承诺将在其30天的补充报告中提供更多细节。

时间线

BeyondTrust 方面的调查也在持续进行中，该公司正深入探讨被泄露事件的范围和影响。

该公司在其安全咨询中表示，12月2日检测到“潜在异常行为”，涉及一位客户，促使其展开调查。12月5日， BeyondTrust 确认这种行为影响了被描述为“有限”数量的远程支持 SaaS 实例，并撤销了被盗密钥。受影响的实例被暂停并进行隔离以进行取证分析，客户已被通知并提供了替代的远程支持 SaaS 实例。

在调查过程中，BeyondTrust 表示发现其远程支持和特权远程访问产品包括云和本地部署中存在两个漏洞，一个为关键严重级别，另一个为中等级别。截至12月16日，云实例已进行了修补，并已发布了自托管版本的补丁。

BeyondTrust 还承诺将在调查进行期间定期更新相关信息。