Cyberattaque contre les instances SaaS de BeyondTrust

BeyondTrust a révélé que des pirates ont compromis des instances de ses produits SaaS Remote Support et Privileged Remote Access au début du mois de décembre.

Le 8 décembre, l’éditeur de solutions de gestion des accès à privilèges a publié un bulletin de sécurité avertissant qu’il avait détecté une activité suspecte liée à « un nombre limité de clients SaaS de support à distance ». L’analyse approfondie des causes de l’incident, effectuée le 5 décembre, a fait ressortir le détournement d’une clé API pour ses outils SaaS de support à distance. BeyondTrust a révoqué la clé en question, notifié les clients concernés et suspendu les instances compromises.

« Une clé API SaaS de support à distance compromise a été identifiée, ce qui permettait de réinitialiser les mots de passe des comptes d’application locaux, et a été rapidement révoquée », indique le bulletin de sécurité.

Dans des mises à jour publiées mi-décembre, BeyondTrust a révélé deux vulnérabilités dans ses outils Privileged Remote Access et Remote Support. La première est une vulnérabilité de gravité moyenne référencée CVE-2024-12686. La seconde est une faille de haute sévérité référencée CVE-2024-12356, qui a reçu un score CVSS de 9,8 sur 10.

Il n’est pas clair si les deux vulnérabilités étaient des failles zero-day utilisées dans des attaques sur des instances SaaS de support à distance. BeyondTrust a publié des avis de sécurité distincts pour les deux vulnérabilités, mais aucun ne mentionne d’exploitation active.

Toutefois, l’agence américaine de la cybersécurité et de la sécurité des infrastructures, la CISA, a ajouté la CVE-2024-12356 à son catalogue de vulnérabilités connues et exploitées. L’avis de BeyondTrust prévient que l’exploitation de CVE-2024-12356 pourrait « permettre à un attaquant non authentifié d’injecter des commandes exécutées en tant qu’utilisateur du site ».

Les deux failles ont été classées comme des vulnérabilités par injection de commande. On ignore combien de clients ont été affectés par les instances compromises et l’exploitation de la vulnérabilité.

Le 16 décembre, BeyondTrust a corrigé toutes les instances cloud et publié un correctif pour les versions auto-hébergées. L’éditeur a ajouté qu’aucun temps d’arrêt n’est nécessaire pour mettre à jour ces versions. Le bulletin de sécurité mis à jour indique également que seuls les produits SaaS de support à distance ont été affectés, selon une enquête initiale.

BeyondTrust n’est pas le premier fournisseur de solutions de gestion des identités et des accès à avoir été victime d’une violation médiatisée. En octobre 2023, Okta a confirmé que des pirates avaient utilisé des informations d’identification volées pour pénétrer dans son système de gestion des cas d’assistance. Alors que le fournisseur avait initialement déclaré que l’attaque n’avait touché que 1 % de ses clients, il a par la suite révélé qu’elle avait touché tous ses clients. BeyondTrust, qui a également été touché par la violation d’Okta avec 1Password, a déclaré qu’il avait été le premier client à détecter et à signaler l’activité à Okta le 2 octobre 2023.

BeyondTrust est le fruit de la fusion de Bomgar avec… BeyondTrust, fin 2018, après que le premier ait racheté le second à un fonds d’investissement, avant d’abandonner son nom au profit de celui de son acquisition.