19 enero 2025

El incidente del Tesoro de EE.UU. es una dura advertencia sobre la seguridad de la cadena de suministro en 2025

5 min read

Un importante incidente cibernético patrocinado por un estado que tuvo como objetivo el Departamento del Tesoro de EE. UU. en las semanas previas a la Navidad de 2024 comenzó como resultado de un compromiso con un proveedor externo de soporte tecnológico, que sirvió como advertencia sobre la precaria seguridad. y la naturaleza vulnerable de las cadenas de suministro de tecnología para las organizaciones de TI y sus clientes.

El ciberataque fue obra de un actor no revelado de Amenaza Persistente Avanzada (APT) respaldado por China y El Correo de WashingtonSe dirige, entre otras cosas, Oficina de Control de Activos Extranjeros (OFAC), una división del Tesoro que administra y hace cumplir sanciones extranjeras contra individuos, organizaciones y países.

Debido a su participación en sanciones y acciones de cumplimiento contra ciberactores maliciosos (ha desempeñado un papel clave en operaciones multinacionales contra bandas de ransomware con motivación financiera), la OFAC presenta un objetivo muy claro para los actores de amenazas.

En una carta a los senadores Sherrod Brown y Tim Scott, que forman parte del Comité de Banca, Vivienda y Asuntos Urbanos, cuya copia fue revisada Computadora semanal – La subsecretaria de Gestión del Tesoro, Aditi Hardikar, confirmó que un proveedor de servicios de software externo notificó al departamento que había sido comprometido el 8 de diciembre de 2024.

Organización en cuestión, Más allá de la confianzadijo que APT obtuvo acceso a una clave que estaba utilizando para asegurar un servicio de soporte técnico remoto basado en la nube.

“Con acceso a las claves robadas, el actor de amenazas pudo anular la seguridad del servicio, acceder de forma remota a las estaciones de trabajo de algunos usuarios de Treasury DO y acceder a algunos documentos no clasificados mantenidos por esos usuarios”, escribió Hardikar.

“El Tesoro está trabajando con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI), la comunidad de inteligencia e investigadores forenses externos para caracterizar completamente el incidente y determinar su impacto general.

“Según los indicadores disponibles, el incidente se ha atribuido a los actores de la APT patrocinados por el Estado de China. El servicio BeyondTrust comprometido ha sido desconectado y no hay evidencia en este momento que indique que el actor de la amenaza haya continuado accediendo a la información del Tesoro”, escribió Hardikar.

autoridades chinas Los estadounidenses negaron las acusaciones.Un portavoz de la embajada de Beijing en Washington DC los calificó de “absurdos” y parte de una “campaña de desprestigio”.

Más allá de la vulnerabilidad de la confianza

La empresa de tecnología en el centro del incidente, BeyondTrust, es un proveedor con sede en Estados Unidos cuyas raíces se remontan a mediados de la década de 1980. es el experto Gestión de identidad privilegiada Y Gestión de acceso privilegiado (PIM/PAM), acceso remoto privilegiado y servicios de gestión de vulnerabilidades. Cuenta con más de 20.000 clientes en 100 países, incluidas empresas de tecnología como Axians y ServiceNow.

Esto también es especial Bien utilizado en el sector público.Con múltiples clientes en el gobierno local, la atención sanitaria y los servicios públicos, incluidas varias organizaciones del NHS en el Reino Unido.

En un comunicado publicado en su sitio webBeyondTrust dijo que ha identificado un incidente que afecta a un “número limitado” de clientes de Remote Support SaaS que se originó a través del compromiso de una clave de interfaz de programación de aplicaciones (API). Recuperó la clave el 5 de diciembre de 2024 tan pronto como un problema técnico de SaaS de soporte remoto completó el análisis de la causa raíz y comenzó a notificar a los usuarios afectados, incluido el Tesoro.

Desde entonces, ha identificado dos vulnerabilidades específicas en las líneas de productos Soporte remoto y Acceso remoto privilegiado: una de gravedad crítica y otra de gravedad moderada. Esta designación ha sido asignada CVE-2024-12356 Y CVE-2024-12686 Tanto la versión alojada en la nube como la versión local estarán parcheadas hasta el 18 de diciembre de 2024, respectivamente.

Según BeyondTrust, los problemas son vulnerabilidades de inyección de comandos que han sido explotadas con éxito, lo que permite a un atacante remoto no autorizado ejecutar comandos del sistema operativo en el contexto de un usuario del sitio.

Un portavoz de Beyond Trust informó esta información. Computadora semanal: “BeyondTrust identificó previamente y tomó medidas para abordar un incidente de seguridad que involucraba productos de asistencia remota a principios de diciembre de 2024. BeyondTrust notificó a un número limitado de clientes afectados y desde entonces ha estado trabajando para brindar asistencia a esos clientes. Ningún otro producto de BeyondTrust estuvo involucrado. Se notificó a las autoridades y Beyond Trust está apoyando los esfuerzos de investigación”.

La seguridad de la cadena de suministro seguirá siendo un gran problema en 2025

Con este incidente, BeyondTrust lamentablemente se ha convertido en el último de una larga lista de expertos en ciberseguridad que aparecen en los titulares después de comprometer productos y soluciones diseñados para mantener seguros a los usuarios finales.

En Avishai Aviv, CISO violación seguraUn proveedor de herramientas de simulación de ataques e infracciones explica cómo es probable que se produzca una infracción. “Beyond Trust, de manera única, proporciona un método seguro para que el personal de soporte de TI brinde soporte remoto a los usuarios finales”, afirmó. “Este enfoque implica establecer una conexión confiable entre la persona de soporte y el usuario final.

“Esta conexión confiable atraviesa los controles de seguridad perimetrales tradicionales y brinda al personal de soporte acceso y control completos a la estación de trabajo del usuario final. Una vez dentro, la persona de soporte puede enviar documentos a través de ese canal seguro o hacerse pasar por un usuario final y enviar los mismos documentos directamente.

“Los controles de seguridad que protegen la red del Tesoro de EE.UU. no tienen forma de saber que algo malo está sucediendo, porque la conexión confiable es, bueno, confiable.

“¿Hubo algo que el Tesoro de los EE. UU. pudiera haber hecho para evitar esto? La triste respuesta parece ser sí. Una vez más, citando información técnica proporcionada por BeyondTrust, los administradores de sistemas del Tesoro de los EE. UU. o los proveedores que podrían brindar servicios de soporte no lograron configurar ubicaciones confiables. Desde donde el agente de soporte puede conectarse. A esto lo llamamos. Lista blanca de IP (lista blanca).

“Esta falla es un riesgo grave para cualquier servicio de este tipo (y) el mismo problema provocó infracciones importantes en 2023 y 2024. Es por esta supervisión que instamos a todos los proveedores de servicios, especialmente a los proveedores de TIC confiables, a seguir CISA seguro por defecto instrucciones.”

Source link