Le Trésor américain révèle avoir été infiltré en septembre dernier via une clé API de BeyondTrust habituellement utilisée pour effectuer du support technique à distance. L’incident est qualifié de « majeur », d’après une enquête de l’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) et du FBI (Federal Bureau of Investigation).
Cette violation a été attribuée à un acteur de menace persistante avancée (APT) parrainé par l’Etat chinois. La Chine réfute cette allégation.
Selon le Trésor, « le service BeyondTrust compromis a été mis hors ligne et, à l’heure actuelle, rien n’indique que l’acteur de la menace a continué d’accéder aux données du Trésor ». Il indique qu’un rapport plus détaillé sera publié dans les 30 jours, conformément à une loi sur la cybersécurité des systèmes fédéraux.
BeyondTrust a révélé deux vulnérabilités dans ses outils Privileged Remote Access et Remote Support. La première, CVE-2024-12686, est de gravité moyenne. La seconde, CVE-2024-12356, est critique avec un score CVSS de 9,8 sur 10. L’entreprise de cybersécurité a diffusé des correctifs pour les versions auto-hébergées de son logiciel. Et d’ajouter que « toutes les instances cloud des vulnérabilités ont été corrigées à la mi-décembre ». En concluant : « Nous continuons à communiquer et à travailler en étroite collaboration avec tous les clients affectés connus. »
Pour rappel, la CISA et le FBI ont également confirmé que des pirates affiliés à l’Etat chinois s’étaient introduits chez neuf opérateurs américains en novembre dernier.