美国财政部受使用的第三方远端安全存取管理平台漏洞攻击波及,让骇客存取员工电脑,而导致部份资讯外流。
财政部管理助理秘书长本周向美国参议院金融、住宅与都市事务委员会主席发函告知此事。财政部于12月8日接获使用的特权远端存取(Privilege Remote Access)及远端支援(Remote Support)云端业者BeyondTrust通知,该业者提供财政部办公室(Treasury Departmental Office,TDO)SaaS版员工远端技术支援所使用的金钥遭攻击者取得。这批攻击者利用此金钥覆写了BeyondTrust的安全设定,成功存取了数名员工的工作站,并且存取了工作站中特定非机密文件。
12月初BeyondTrust公告,部分采用其SaaS版远端支援(Remote Support,RS)系统的用户遭到入侵。12月16日该公司公布初步调查结果,攻击者是滥用了重大风险的命令注入漏洞CVE-2024-12356,以及中度风险的CVE-2024-12686,可注入恶意指令,而能冒充网站合法用户执行动作。
美财政部已在美国网路安全暨基础架构管理署(CISA)、联邦调查局(FBI)及第三方数位鉴识业者的协助下廓清攻击事件。分析入侵指标显示,攻击来源指向中国政府资助的进阶持续性威胁(Advanced Persistent Threat,APT)即国家骇客。
财政部也说,使用的BeyondTrust服务目前已经下线,目前的追踪显示,资讯外泄已经未再持续。
BeyondTrust已在12月16日发布新版本RS & RPA 22.1.x版解决漏洞。CISA也在12月19日通令美联邦政府部门更新软体版本。