ទីភ្នាក់ងារ CISA បានបង្ហាញពីភាពងាយរងគ្រោះនៃការចាក់បញ្ចូលពាក្យបញ្ជា (Command Injection) (CVE-2024-12686) ដែលមានសិទ្ធិនៅក្នុងការចូលប្រើប្រាស់បានពីចម្ងាយ (Privileged Remote Access (PRA)) និងជំនួយពីចម្ងាយ (Remote Support (RS)) របស់កម្មវិធី BeyondTrust ដូចដែលបានបំពាននៅក្នុងការវាយប្រហារ។
ដូចដែលបានកំណត់ដោយ Binding Operational Directive (BOD) 22-01 បន្ទាប់ពីការបន្ថែមចូលទៅក្នុងតារាងភាពងាយរងគ្រោះដែលត្រូវបានបំពាន (Known Exploited Vulnerabilities catalog) របស់ទីភ្នាក់ងារ CISA ដែលភ្នាក់ងារសហព័ន្ធអាមេរិកត្រូវតែធានាសុវត្ថិភាពបណ្តាញណិតវើករបស់ពួកគេទប់ទល់នឹងការវាយប្រហារនោះ និងជាគោលដៅលើបញ្ហា នៅក្នុងរយៈពេល៣សប្តាហ៍ ត្រឹមថ្ងៃទី៣ ខែកុម្ភៈ។ កាលពីថ្ងៃទី១៩ ខែធ្នូ ទីភ្នាក់ងារសន្តិសុខសាយប័រក៏បានបន្ថែមបញ្ហាសុវត្ថិភាពនៃការចាក់បញ្ចូលពាក្យបញ្ជា (CVE-2024-12356) នៅក្នុងកម្មវិធី BeyondTrust ដូចគ្នា។
ក្រុមហ៊ុនកម្មវិធី BoyondTrust បានរកឃើញភាពងាយរងគ្រោះទាំងពីរនៅពេលស៊ើបអង្កេតការបំពានរបស់ Remote Support SaaS instances កាលពីដើមខែធ្នូ។ ហេគឃ័រក៏បានលួច API key ដែលក្រោយមកពួកគេបានប្រើប្រាស់សម្រាប់កំណត់លេខសម្ងាត់ឡើងវិញនៅក្នុងគណនីកម្មវិធីក្នុងតំបន់។ ខណៈនៃការបង្ហាញក្នុងខែធ្នូរបស់ក្រុមហ៊ុន BeyondTrust មិនបានច្បាស់លាស់នោះ ហេគឃ័រទំនងជាប្រើបញ្ហាទាំងពីរនេះជា Zero-days សម្រាប់ហេគចូលទៅក្នុងប្រព័ន្ធរបស់ក្រុមហ៊ុន BeyondTrust ដើម្បីឈានចូលទៅកាន់អតិថិជនរបស់ក្រុមហ៊ុន។ នៅដើមខែមករា ក្រសួងរតនាគារបានបង្ហើបប្រាប់ថា បណ្តាញណិតវើករបស់ខ្លួនត្រូវបានបំពានដោយហេគឃ័រដែលប្រើ Remote Support SaaS API key ដែលបានលួចសម្រាប់ការគ្រប់គ្រងដោយការវាយប្រហារលើ BeyondTrust instances ដែលប្រើដោយភ្នាក់ងារ។ តាំងពីពេលនោះមក ហេគឃ័របានត្រូវចោទប្រកាន់ថា ជាហេគឃ័រដែលគាំទ្រដោយរដ្ឋាភិបាលចិន ដែលគេស្គាល់ឈ្មោះថា Silk Typhoon។ ក្រុមចារកម្មសាយប័រនេះ ត្រូវបានគេស្គាល់ថាជាឈ្លបយកការណ៍ និងវាយប្រហារលួចទិន្នន័យយ៉ាងទូលំទូលាយ បន្ទាប់ពីការវាយប្រហារលើម៉ាស៊ីនមេចំនួន ៦៨,៥០០គ្រឿងកាលពីដើមឆ្នាំ២០២១ ដោយកេងចំណេញលើបញ្ហា Microsoft Exchange Server ProxyLogon zero-days។
ហេគឃ័រមានគោលដៅជាក់លាក់លើការិយាល័យត្រួតពិនិត្យទ្រព្យសម្បត្តិជនជាតិបរទេស (Office of Foreign Assets Control (OFAC)) ដែលគ្រប់គ្រងកម្មវិធីដាក់ទណ្ឌកម្មសេដ្ឋកិច្ច និងពាណិជ្ជកម្ម ថែមទាំង គណៈកម្មាធិការវិនិយោគបរទេសនៅសហរដ្ឋអាមេរិក (CFIUS) ដែលពិនិត្យការវិនិយោគបរទេសជៀសវាងហានិភ័យសន្តិសុខជាតិផងដែរនោះ។ ពួកគេក៏ហេគចូលក្នុងការិយាល័យប្រព័ន្ធស្រាវជ្រាវហរិញ្ញវត្ថុរបស់ក្រសួងរតនាគារ ប៉ុន្តែផលប៉ះពាល់នៃឧប្បត្តិហេតុនេះកំពុងតែត្រូវបានវាយតម្លៃ។ ក្រុមហេគឃ័រ Silk Typhoon ត្រូវបានគេជឿជាក់ថា បានប្រើ BeyondTrust Digital key ដែលបានលួចសម្រាប់ចូលមើល “ព័ត៌មានដែលមិនបានធ្វើចំណាត់ថ្នាក់ទាក់ទងនឹងសកម្មភាពដាក់ទណ្ឌកម្ម និងឯកសារផ្សេងៗ”។ ក្រុមហ៊ុន BeyondTrust ថ្លែងថា ខ្លួនបានដាក់ចេញនូវ Patches សម្រាប់ដោះស្រាយបញ្ហា CVE-2024-12686 និង CVE-2024-12356 នៅលើ Cloud Instances តែទោះបីជាយ៉ាងណា អ្នកដែលប្រើ Self-hosted Instances ត្រូវតែអនុវត្ត Patch ជាប្រចាំដោយខ្លួនឯង៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៣ ខែមករា ឆ្នាំ២០២៥
