黑客利用第三方SaaS服务成功入侵美国财政部系统

根据美国财政部本周一向国会议员发出的一封信，财政部透露，网络安全公司 BeyondTrust 于 12 月 8 日通知其发现一名黑客利用被盗的安全密钥成功入侵财政部系统。黑客通过远程访问权限控制了员工工作站并获取了其中的机密文件。

BeyondTrust 是一家专注于特权访问管理（PAM）和安全远程访问解决方案的网络安全公司，其 SaaS 产品被广泛应用于政府机构、科技企业、零售商、医疗机构、能源和公用事业提供商，以及银行业等领域。

财政部助理部长 Aditi Hardikar 在信中表示：“根据目前的调查结果，这起事件可归因于高级持续威胁（APT）行为者。”然而，财政部并未详细说明受影响的工作站数量或泄露文档的具体类型，也未明确攻击发生的具体时间。

财政部补充称，受感染的服务已被下线，目前没有迹象表明攻击者仍然能够访问财政部的信息资源。根据财政部政策，APT 行为导致的入侵被视为重大网络安全事件。

BeyondTrust的漏洞利用与财政部受影响情况

本月早些时候，BeyondTrust遭遇黑客攻击，其远程支持 SaaS 平台的部分实例被入侵。黑客通过盗取的 API 密钥重置了本地应用程序帐户的密码，从而获得了系统的高级权限。

BeyondTrust在调查后确认了两个0day漏洞——CVE-2024-12356 和 CVE-2024-12686。这些漏洞使攻击者能够侵入并控制远程支持 SaaS 实例。由于财政部是受影响实例的用户之一，黑客得以通过该平台远程访问财政部的设备并窃取文档。

在发现违规行为后，BeyondTrust迅速采取措施，关闭了所有受影响的实例并撤销了被盗的 API 密钥。

政府协同应对措施

目前，美国财政部正在与联邦调查局（FBI）和美国网络安全与基础设施安全局（CISA）合作，全面调查并解决此次入侵事件。财政部表示，将继续采取措施确保其系统的安全性，并防止类似事件再次发生。