Thought Leadership
Der PAM-Spezialist BeyondTrust kämpft mit den Folgen eines schwerwiegenden Sicherheitsvorfalls. Wie das Unternehmen jetzt bekannt gab, verschafften sich Angreifer Anfang Dezember Zugriff auf mehrere Cloud-Instanzen des Remote-Support-Systems.
Nach Angaben des Unternehmens fiel der Angriff erstmals am 2. Dezember durch verdächtiges Netzwerkverhalten auf. Die anschließende Untersuchung ergab, dass es den Angreifern gelungen war, einen API-Schlüssel für das Remote-Support-System zu kompromittieren. Mit diesem konnten sie Passwörter für lokale Anwendungskonten zurücksetzen.
BeyondTrust reagierte am 5. Dezember mit der sofortigen Sperrung des betroffenen API-Schlüssels und der Abschaltung kompromittierter Cloud-Instanzen. Betroffenen Kunden wurden alternative Instanzen zur Verfügung gestellt. Ob die Angreifer die erlangten Zugriffsmöglichkeiten auch für Attacken auf Kundensysteme nutzten, ist derzeit noch unklar.
Im Rahmen der Incident Response entdeckten die Sicherheitsexperten zwei bisher unbekannte Schwachstellen:
- CVE-2024-12356: Eine kritische Command-Injection-Lücke in den Produkten Remote Support (RS) und Privileged Remote Access (PRA). Sie ermöglicht nicht-authentifizierten Angreifern die Ausführung von Betriebssystembefehlen.
- CVE-2024-12686: Eine Schwachstelle mittlerer Schwere, die es Administratoren erlaubt, Befehle einzuschleusen und schadhaften Code hochzuladen.
Während Cloud-Instanzen automatisch gepatcht wurden, müssen Kunden mit Self-Hosted-Installationen die Sicherheitsupdates manuell einspielen. Die US-amerikanische Cybersecurity-Behörde CISA bestätigte inzwischen, dass zumindest CVE-2024-12356 bereits aktiv ausgenutzt wird.
Keine Anzeichen für Ransomware
Gegenüber dem IT-Sicherheitsportal BleepingComputer betonte BeyondTrust, dass bislang keine Hinweise auf den Einsatz von Ransomware gefunden wurden. Die Untersuchungen dauern an und werden von externen Sicherheitsfirmen unterstützt. Das Unternehmen kündigte regelmäßige Updates zum Fortgang der Analyse an.
Der Vorfall ist besonders heikel, da BeyondTrust zu den führenden Anbietern im Bereich Privileged Access Management zählt. Zu den Kunden gehören neben Behörden auch Unternehmen aus sensiblen Bereichen wie Gesundheit, Energie und Bankwesen.
