{"id":1559430,"date":"2025-02-01T07:43:04","date_gmt":"2025-02-01T07:43:04","guid":{"rendered":"https:\/\/teknomers.com\/es\/beyondtrust-la-violacion-del-dia-cero-expone-a-17-clientes-de-saas-a-traves-de-la-tecla-api-comprometida\/"},"modified":"2025-02-01T07:43:09","modified_gmt":"2025-02-01T07:43:09","slug":"beyondtrust-la-violacion-del-dia-cero-expone-a-17-clientes-de-saas-a-traves-de-la-tecla-api-comprometida","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/beyondtrust-la-violacion-del-dia-cero-expone-a-17-clientes-de-saas-a-traves-de-la-tecla-api-comprometida\/","title":{"rendered":"Beyondtrust La violaci\u00f3n del d\u00eda cero expone a 17 clientes de SaaS a trav\u00e9s de la tecla API comprometida"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>01 de febrero de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Vulnerabilidad \/ d\u00eda cero<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Beyondtrust ha revelado que complet\u00f3 una investigaci\u00f3n sobre un reciente incidente de ciberseguridad que se dirigi\u00f3 a algunas de las instancias de SaaS de soporte remoto de la compa\u00f1\u00eda al hacer uso de una clave API comprometida.<\/p>\n

La compa\u00f1\u00eda dijo que la violaci\u00f3n involucr\u00f3 a 17 clientes de soporte remoto SaaS y que la clave API se utiliz\u00f3 para permitir el acceso no autorizado al restablecer las contrase\u00f1as de la aplicaci\u00f3n local. La violaci\u00f3n se marc\u00f3 por primera vez el 5 de diciembre de 2024.<\/p>\n

“La investigaci\u00f3n determin\u00f3 que se utiliz\u00f3 una vulnerabilidad de d\u00eda cero de una aplicaci\u00f3n de terceros para obtener acceso a un activo en l\u00ednea en una cuenta de AWS Beyondtrust”, la compa\u00f1\u00eda dicho<\/a> esta semana.<\/p>\n

“El acceso a ese activo luego le permiti\u00f3 al actor de amenaza obtener una clave de API de infraestructura que luego podr\u00eda aprovecharse contra una cuenta de AWS separada que operaba infraestructura de soporte remoto”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

La compa\u00f1\u00eda de gesti\u00f3n de acceso estadounidense no nombr\u00f3 la aplicaci\u00f3n que se explor\u00f3 para obtener la clave API, pero dijo que la investigaci\u00f3n descubri\u00f3 dos separados en sus propios productos (CVE-2024-12356 y CVE-2024-12686).<\/p>\n

Desde entonces, Beyondtrust ha revocado la clave API comprometida y suspendido todas las instancias de clientes afectadas conocidas, al tiempo que les proporciona instancias alternativas de soporte remoto SaaS.<\/p>\n

Vale la pena se\u00f1alar que la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agreg\u00f3 tanto CVE-2024-12356 como CVE-2024-12686 a su cat\u00e1logo de vulnerabilidades explotadas (KEV) conocidas, citando evidencia de explotaci\u00f3n activa en la naturaleza. Los detalles exactos de la actividad maliciosa se desconocen actualmente.<\/p>\n

El desarrollo se produce cuando el Departamento del Tesoro de los Estados Unidos dijo que era una de las partes afectadas. No se eval\u00faan otras agencias federales por haber sido afectadas.<\/p>\n

Los ataques se han atribuido a un grupo de pirater\u00eda vinculado a China denominado Typhoon de Silk (anteriormente Hafnium), con la agencia imponiendo sanciones contra un actor cibern\u00e9tico con sede en Shanghai llamado Yin Kecheng por su presunta participaci\u00f3n en la incumplimiento de la red de oficinas departamentales del Tesoro.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n