Revelación de Brecha de Seguridad en el Departamento del Tesoro de EE.UU.
Un aviso de divulgación al Congreso de los Estados Unidos, realizado el lunes, reveló que el Departamento del Tesoro de EE.UU. sufrió una brecha a principios de este mes, lo que permitió a los hackers acceder de forma remota a algunas computadoras del Tesoro y “ciertos documentos no clasificados”. Los atacantes explotarón vulnerabilidades en el software de soporte técnico remoto proporcionado por la firma de gestión de identidad y acceso BeyondTrust. El Tesoro señaló en su carta a los legisladores que “el incidente ha sido atribuido a un actor de Amenaza Persistente Avanzada (APT) patrocinado por el estado de China”, según informó primero Reuters.
Detalles del Incidente
En el aviso, los funcionarios del Tesoro indicaron que BeyondTrust notificó a la agencia sobre el incidente el 8 de diciembre, después de que los atacantes lograron robar una clave de autenticación y utilizarla para eludir las defensas del sistema y acceder a las estaciones de trabajo del Tesoro. “El servicio de BeyondTrust comprometido ha sido desconectado, y en este momento no hay evidencia que indique que el actor de la amenaza haya mantenido acceso a la información del Tesoro”, escribió la subsecretaria del Tesoro para gestión, Aditi Hardikar, a los legisladores. “De acuerdo con la política del Tesoro, las intrusiones atribuibles a un APT se consideran un incidente importante de ciberseguridad”.
Colaboración con las Autoridades
El aviso indica que el Tesoro ha estado colaborando con el FBI, la Agencia de Seguridad Cibernética e Infraestructura (CISA) y la comunidad de inteligencia en general, así como con “investigadores forenses” privados para evaluar la situación. El Tesoro y el FBI no respondieron de inmediato a la solicitud de WIRED para obtener información adicional sobre la brecha. CISA redirigió las preguntas de regreso al Departamento del Tesoro.
Declaraciones de BeyondTrust
En respuesta a preguntas sobre la notificación de la brecha en el Departamento del Tesoro, el portavoz de BeyondTrust, Mike Bradshaw, declaró que “BeyondTrust identificó previamente y tomó medidas para abordar un incidente de seguridad a principios de diciembre de 2024 que involucró el producto de Soporte Remoto. BeyondTrust notificó a un número limitado de clientes que se vieron involucrados y ha estado trabajando para apoyar a esos clientes desde entonces”.
El 8 de diciembre, BeyondTrust publicó una alerta que ha continuado actualizando sobre “un incidente de seguridad que involucró a un número limitado de clientes de Soporte Remoto SaaS”. Aunque la notificación no indica que el Departamento del Tesoro de EE.UU. fuera uno de los clientes afectados, la cronología y los detalles parecen alinearse con la divulgación del Tesoro, incluyendo el reconocimiento por parte de BeyondTrust de que los atacantes comprometieron una clave de interfaz de programación de aplicaciones.
La alerta de BeyondTrust mencionó dos vulnerabilidades explotadas en la situación: la vulnerabilidad crítica de inyección de comandos “CVE-2024-12356” y la vulnerabilidad de inyección de comandos de gravedad media “CVE-2024-12686”. CISA añadió la primera CVE a su “Catálogo de Vulnerabilidades Explotadas Conocidas” el 19 de diciembre. Las vulnerabilidades de inyección de comandos son fallos comunes en aplicaciones que pueden ser fácilmente explotados para acceder a los sistemas de un objetivo.
Jake Williams, vicepresidente de investigación y desarrollo de la consultoría de ciberseguridad Hunter Strategy y ex hacker de la NSA, afirmó: “No puedo creer que estemos viendo vulnerabilidades de inyección de comandos en 2024 en cualquier producto, y mucho menos en un producto de acceso remoto seguro que se supone debe tener una verificación adicional para su uso por parte del gobierno de EE.UU.”. Williams especula que es posible que el Tesoro estuviera utilizando una versión no certificada por FedRAMP de los productos de Soporte Remoto y Acceso Remoto Privilegiado de la compañía. Sin embargo, si la brecha afectó realmente a la infraestructura de nube certificada por FedRAMP, Williams afirmo: “podría ser la primera brecha de una y casi seguramente la primera vez que se abusaron de herramientas de nube FedRAMP para facilitar el acceso remoto a los sistemas de un cliente”.
Fuente y créditos: www.wired.com
Cats: Security
