Apenas Tesouro foi impactado no incidente BeyondTrust

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) informou que, além do Departamento do Tesouro, nenhuma outra agência federal foi afetada pelo ataque cibernético que comprometeu um serviço de nuvem da BeyondTrust. O incidente, divulgado em 31 de dezembro, envolveu hackers patrocinados pelo estado chinês, segundo a agência, que acessaram estações de trabalho e documentos não confidenciais do Tesouro usando uma chave de API comprometida de um serviço de gerenciamento remoto da BeyondTrust.

Leia também
Hackers chineses se infiltram no grid dos EUA
Cloudflare frustra hack a seu data center fora de operação em SP

O Tesouro dos EUA detectou a chave de API comprometida em 8 de dezembro, no mesmo dia em que a BeyondTrust revelou publicamente que uma chave para seu serviço SaaS de Suporte Remoto foi comprometida, afetando um número limitado de clientes. Uma semana depois, a empresa divulgou uma vulnerabilidade crítica (CVE-2024-12356) no software Privileged Remote Access (PRA) e Remote Support (RS), permitindo injeção de comando não autenticada. A CISA adicionou a vulnerabilidade ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), e a BeyondTrust lançou patches para corrigir o problema.

Embora a BeyondTrust tenha corrigido todas as instâncias afetadas de seu serviço SaaS, a Censys, especializada em gerenciamento de superfícies de ataque, relatou que há mais de 13.500 instâncias de BeyondTrust PRA e RS acessíveis pela internet, muitas delas localizadas nos EUA. No entanto, não está claro quantas dessas instâncias ainda podem estar vulneráveis.

A CISA segue monitorando a situação e coordenando esforços com outras autoridades para mitigar futuros riscos e garantir a segurança dos sistemas federais.