El incidente del Tesoro de EE. UU. es una advertencia clara sobre la seguridad de la cadena de suministro en 2025

Un importante incidente cibernético patrocinado por el estado que tuvo como objetivo el Departamento del Tesoro de los Estados Unidos en las semanas previas a la Navidad de 2024 parece haber comenzado como resultado de un compromiso con un proveedor externo de soporte técnico, lo que sirve como advertencia sobre la precaria seguridad. y vulnerable naturaleza de las cadenas de suministro de tecnología tanto para las empresas de TI como para sus clientes.

El ciberataque supuestamente fue obra de un actor de amenaza persistente avanzada (APT) no revelado respaldado por China y, según El Correo de Washingtonapuntó, entre otras cosas, a la Oficina de Control de Activos Extranjeros (OFAC), un departamento del Tesoro que administra y hace cumplir sanciones extranjeras contra individuos, organizaciones y países.

Debido a su participación en sanciones y acciones de cumplimiento contra ciberactores maliciosos (ha desempeñado un papel clave en operaciones multinacionales contra bandas de ransomware con motivación financiera), la OFAC presenta un objetivo muy obvio para los actores de amenazas.

En una carta a los senadores Sherrod Brown y Tim Scott, que forman parte del Comité de Banca, Vivienda y Asuntos Urbanos, cuya copia ha sido revisada por Computadora semanal – El subsecretario de gestión del Tesoro, Aditi Hardikar, confirmó que un proveedor de servicios de software externo notificó al departamento que había sido comprometido el 8 de diciembre de 2024.

La organización en cuestión, BeyondTrust, dijo que la APT obtuvo acceso a una clave que estaba utilizando para asegurar un servicio de soporte técnico remoto basado en la nube.

“Con acceso a la clave robada, el actor de amenazas pudo anular la seguridad del servicio, acceder de forma remota a ciertas estaciones de trabajo de usuarios de Treasury DO y acceder a ciertos documentos no clasificados mantenidos por esos usuarios”, escribió Hardikar.

Más contenido para leer:  Cinco días cero se solucionarán el martes de parches de octubre

“El Tesoro ha estado trabajando con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI), la Comunidad de Inteligencia e investigadores forenses externos para caracterizar completamente el incidente y determinar su impacto general.

“Según los indicadores disponibles, el incidente se ha atribuido a un actor de la APT patrocinado por el Estado de China. El servicio BeyondTrust comprometido ha sido desconectado y en este momento no hay evidencia que indique que el actor de la amenaza haya seguido teniendo acceso a la información del Tesoro”, escribió Hardikar.

Las autoridades chinas han negado las acusaciones de los estadounidenses, y un portavoz de la embajada de Beijing en Washington DC las calificó de “irracionales” y parte de una “campaña de desprestigio”.

Vulnerabilidades de BeyondTrust

La empresa de tecnología en el centro del incidente, BeyondTrust, es un proveedor con sede en Estados Unidos cuyas raíces se remontan a mediados de la década de 1980. Se especializa en gestión de identidades privilegiadas y gestión de acceso privilegiado (PIM/PAM), acceso remoto privilegiado y servicios de gestión de vulnerabilidades. Cuenta con más de 20.000 clientes en 100 países, incluidas empresas de tecnología como Axians y ServiceNow.

También se utiliza especialmente en el sector público, con múltiples clientes en el gobierno local, la atención sanitaria y los servicios públicos, incluidos varios organismos del NHS en el Reino Unido.

En un comunicado publicado en su sitio web, BeyondTrust dijo que identificó un incidente que afectó a un “número limitado” de clientes de Remote Support SaaS que surgió a través del compromiso de una clave de interfaz de programación de aplicaciones (API). Revocó la clave inmediatamente después de concluir un análisis de la causa raíz de un problema técnico de SaaS de soporte remoto el 5 de diciembre de 2024, y comenzó a notificar a los usuarios afectados, incluido el Tesoro.

Más contenido para leer:  Se esperan más interrupciones después del último ciberataque del NHS

Desde entonces, ha identificado dos vulnerabilidades específicas dentro de las líneas de productos Soporte remoto y Acceso remoto privilegiado: una de gravedad crítica y otra de gravedad media. A estos se les han asignado las designaciones CVE-2024-12356 y CVE-2024-12686 respectivamente. Ambos han sido parcheados para las versiones alojadas en la nube y locales a partir del 18 de diciembre de 2024.

Según BeyondTrust, los problemas son vulnerabilidades de inyección de comandos que, explotadas con éxito, permiten a un atacante remoto no autenticado ejecutar comandos del sistema operativo en el contexto del usuario del sitio.

Un portavoz de BeyondTrust dijo Computadora semanal: “BeyondTrust identificó previamente y tomó medidas para abordar un incidente de seguridad a principios de diciembre de 2024 que involucró al producto Soporte remoto. BeyondTrust notificó al número limitado de clientes involucrados y ha estado trabajando para brindar soporte a esos clientes desde entonces. Ningún otro producto de BeyondTrust estuvo involucrado. Se notificó a las autoridades y BeyondTrust ha estado apoyando los esfuerzos de investigación”.

La cadena de suministro de seguridad seguirá siendo un gran problema en 2025

Con este incidente, BeyondTrust lamentablemente se convierte en el último de una larga lista de especialistas en seguridad cibernética que aparecen en los titulares después de comprometer productos y soluciones diseñados para mantener seguros a los usuarios finales.

Avishai Avivi, CISO de SafeBreach, un proveedor de herramientas de simulación de ataques y violaciones, explicó cómo probablemente se desarrolló la violación. “BeyondTrust, irónicamente, proporciona un método seguro para que el personal de soporte de TI brinde soporte remoto a los usuarios finales”, dijo. “Este método implica establecer una conexión confiable entre la persona de soporte y el usuario final.

Más contenido para leer:  El estado autorizado y los estándares alineados son cruciales para el sector cibernético del Reino Unido

“Esta conexión confiable atraviesa los controles de seguridad perimetrales tradicionales y brinda al personal de soporte acceso y control total sobre la estación de trabajo del usuario final. Una vez dentro, la persona de soporte puede enviar documentos a través de ese canal seguro o hacerse pasar por el usuario final y enviar los mismos documentos directamente.

“Los controles de seguridad que protegen la red del Tesoro de EE.UU. no tienen forma de saber que algo nefasto está sucediendo, ya que la conexión confiable es, bueno, confiable.

“¿Hubo algo que el Tesoro de Estados Unidos podría haber hecho para evitar esto? La triste respuesta parece ser sí. Nuevamente, en referencia a la información técnica proporcionada por BeyondTrust, los administradores del sistema del Tesoro de los EE. UU., o el proveedor que probablemente brindaría servicios de soporte, no configuraron ubicaciones confiables desde las cuales los agentes de soporte pudieran conectarse. Nos referimos a esto como lista blanca de IP. [allowlisting].

“Esta falla es un riesgo crítico con cualquier servicio de este tipo. [and] el mismo problema provocó violaciones notables en 2023 y 2024. Esta supervisión es la razón por la que instamos a todos los proveedores de servicios, especialmente a los proveedores de TIC confiables, a seguir la guía CISA Secure-by-Default”.

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales