.
Um aviso de divulgação ao Congresso dos Estados Unidos na segunda-feira revelou que o Departamento do Tesouro dos EUA sofreu uma violação no início deste mês que permitiu que hackers acessassem remotamente alguns computadores do Tesouro e “certos documentos não confidenciais”.
Os invasores exploraram vulnerabilidades em software de suporte técnico remoto fornecido pela empresa de gerenciamento de identidade e acesso BeyondTrust, e o Tesouro disse em sua carta aos legisladores que “o incidente foi atribuído a um ator de Ameaça Persistente Avançada (APT) patrocinado pelo Estado chinês”. A Reuters relatou pela primeira vez a divulgação e seu conteúdo.
No aviso, funcionários do Tesouro disseram que a BeyondTrust notificou a agência sobre o incidente em 8 de dezembro, depois que os invasores conseguiram roubar uma chave de autenticação e usá-la para contornar as defesas do sistema e obter acesso às estações de trabalho do Tesouro.
“O serviço BeyondTrust comprometido foi colocado offline e neste momento não há evidências indicando que o ator da ameaça tenha acesso contínuo às informações do Tesouro”, escreveu o secretário assistente de gestão do Tesouro, Aditi Hardikar, aos legisladores. “De acordo com a política do Tesouro, as intrusões atribuíveis a um APT são consideradas um grande incidente de segurança cibernética.”
A divulgação diz que o Tesouro tem colaborado com o FBI, a Agência de Segurança Cibernética e de Infraestrutura e a comunidade de inteligência em geral, bem como com “investigadores forenses” privados para avaliar a situação. O Tesouro e o FBI não retornaram imediatamente o pedido da WIRED de informações adicionais sobre a violação. A CISA encaminhou as questões de volta ao Departamento do Tesouro.
Em resposta a perguntas sobre a notificação de violação do Departamento do Tesouro, o porta-voz da BeyondTrust, Mike Bradshaw, disse em um comunicado que “a BeyondTrust identificou anteriormente e tomou medidas para resolver um incidente de segurança no início de dezembro de 2024 que envolveu o produto de suporte remoto. A BeyondTrust notificou o número limitado de clientes envolvidos e tem trabalhado para oferecer suporte a esses clientes desde então.”
Em 8 de dezembro, a BeyondTrust publicou um alerta que continuou a atualizar sobre “um incidente de segurança que envolveu um número limitado de clientes de SaaS de suporte remoto”. (SaaS significa “software como serviço”.) Embora a notificação não diga que o Tesouro dos EUA foi um dos clientes afetados, o cronograma e os detalhes parecem estar alinhados com a divulgação do Tesouro, incluindo o reconhecimento da BeyondTrust de que os invasores comprometeram um chave da interface de programação do aplicativo.
O alerta BeyondTrust menciona duas vulnerabilidades exploradas envolvidas na situação – a vulnerabilidade crítica de injeção de comando “CVE-2024-12356” e a vulnerabilidade de injeção de comando de gravidade média “CVE-2024-12686”. A CISA adicionou o antigo CVE ao seu “Catálogo de Vulnerabilidades Exploradas Conhecidas” em 19 de dezembro. Vulnerabilidades de injeção de comando são falhas comuns de aplicativos que podem ser facilmente exploradas para obter acesso aos sistemas de um alvo.
“Não posso acreditar que estejamos vendo vulnerabilidades de injeção de comando em 2024 em qualquer produto, muito menos em um produto de acesso remoto seguro que deveria ter verificação adicional para uso pelo governo dos EUA”, disse Jake Williams, vice-presidente de pesquisa e desenvolvimento da a consultoria de segurança cibernética Hunter Strategy e um ex-hacker da NSA. “Eles são alguns dos bugs mais fáceis de identificar e corrigir neste momento.”
BeyondTrust é um fornecedor credenciado do “Programa Federal de Gerenciamento de Riscos e Autorizações”, mas Williams especula que é possível que o Tesouro estivesse usando uma versão não FedRAMP dos produtos em nuvem de Suporte Remoto e Acesso Remoto Privilegiado da empresa. Se a violação realmente afetou a infraestrutura em nuvem certificada pelo FedRAMP, diz Williams, “pode ser a primeira violação de uma e quase certamente a primeira vez que as ferramentas em nuvem do FedRAMP foram abusadas para facilitar o acesso remoto aos sistemas de um cliente”.
.
