La brèche BeyondTrust : pourquoi le Pre-Auth RCE reste le "Saint Graal" des rançongiciels en 2025

Quick answer
BeyondTrust Breakout : CVE-2026-1731 & Ransomware: MCP tunnel answer
MCP tunneling gives a local MCP server a public HTTPS endpoint so AI tools can reach it during development without deploying the server first.
What is MCP tunneling?
MCP tunneling exposes a local Model Context Protocol server through a public endpoint so compatible AI tools can connect during development.
When should I use InstaTunnel for MCP?
Use InstaTunnel Pro when a local MCP endpoint needs public HTTPS access, stable routing, and stream-friendly tunnel behavior.
Dans le jeu à enjeux élevés de la sécurité d’entreprise, il n’y a pas de prix plus convoité par un acteur malveillant qu’une exécution de code à distance (RCE) pré-authentification sur un appareil de sécurité critique. C’est l’équivalent numérique de trouver la clé maîtresse d’une banque laissée sur le trottoir.
Tout au long de la fin 2024 et en 2025, cette clé a été trouvée — à plusieurs reprises. La découverte et l’exploitation de vulnérabilités critiques dans BeyondTrust Remote Support (RS) et Privileged Remote Access (PRA) ont secoué l’industrie. Avec des scores CVSS atteignant 9.8 et 9.9, ces vulnérabilités représentent le “Saint Graal” pour des acteurs sophistiqués : elles ne nécessitent pas de crédentials, pas d’interaction utilisateur, et donnent un accès immédiat et privilégié aux outils conçus pour protéger les “Paths to Privilege.”
Cet article propose une analyse approfondie des incidents de sécurité BeyondTrust, explorant pourquoi les outils d’accès à distance restent la cible ultime et comment une seule instance non corrigée peut conduire à une compromission complète du domaine en quelques minutes.
L’anatomie de l’injection de commandes critique : CVE-2024-12356 et au-delà
Au cœur, les vulnérabilités BeyondTrust découvertes fin 2024 sont des failles Injection de commandes OS non authentifiée. Elles résident dans des composants backend spécifiques de l’appareil BeyondTrust, gérant les connexions WebSocket entrantes — le même canal de communication qui rend le support à distance possible.
La “Douleur” Technique
CVE-2024-12356 (CVSS 9.8) a été la première à tomber en décembre 2024. Cette vulnérabilité critique permet à un attaquant distant non authentifié d’exécuter des commandes arbitraires du système d’exploitation dans le contexte de l’utilisateur du site en envoyant des requêtes spécialement conçues via des connexions client malveillantes.
Le défaut se déclenche lors du processus de poignée de main WebSocket. Lorsqu’un client (ou un attaquant) tente de se connecter à des points de terminaison spécifiques d’un appareil BeyondTrust, une validation insuffisante des entrées permet à des paramètres spécialement conçus de sortir du cadre prévu et d’exécuter des commandes système arbitraires.
Cependant, des recherches de Rapid7 ont ultérieurement révélé que l’exploitation réussie de CVE-2024-12356 nécessitait en réalité de la chaîner avec une autre vulnérabilité critique : CVE-2025-1094, une faille d’injection SQL dans un outil PostgreSQL sous-jacent. Cette chaîne donnait aux attaquants l’accès complet dont ils avaient besoin.
La structure de la charge utile d’injection permet aux attaquants de sortir des contextes d’évaluation arithmétique et d’exécuter des commandes via des sous-processus shell. Pour un attaquant non authentifié, c’est l’équivalent d’avoir un terminal direct dans le cœur de l’appareil avant même d’avoir tapé un nom d’utilisateur.
CVE-2024-12686 (Sévérité Moyenne) a été divulguée peu après, affectant les versions 24.3.1 et antérieures de BeyondTrust PRA et RS. Cette vulnérabilité d’injection de commandes peut être exploitée par un utilisateur disposant déjà de privilèges administratifs pour télécharger des fichiers malveillants et exécuter des commandes système sous-jacentes.
Pourquoi c’est le “Saint Graal” pour les acteurs de menace avancés
Pour comprendre pourquoi ces vulnérabilités spécifiques sont si dévastatrices, il faut considérer la nature “centrée sur l’identité” des paysages de menace modernes. Nous ne sommes plus à l’ère des simples “virus” ; nous sommes dans celle de l’exploitation d’identité.
1. La porte d’entrée vers tout
Les appareils BeyondTrust ne sont pas des “dispositifs en périphérie” au sens traditionnel — ce sont des Centres d’Identité. Ils détiennent les clés du royaume :
- Crédentials stockés : comptes locaux et de domaine utilisés pour le support
- Sessions actives : accès en temps réel aux serveurs et stations de travail à travers le monde
- Confiance réseau : ces appareils résident généralement dans des segments réseau privilégiés avec la capacité de “voir” presque tout dans le centre de données
- Coffres de crédentials : clés SSH, jetons de session, mots de passe pour les systèmes les plus sensibles
BeyondTrust fournit des services de sécurité d’identité à plus de 20 000 clients dans plus de 100 pays, dont 75 % du Fortune 100. Cette omniprésence a attiré à plusieurs reprises des acteurs étatiques.
2. Pre-Auth : le mur qui n’était pas
La plupart des RCE nécessitent une prise de contrôle — un mot de passe volé, un jeton de session phishing, ou un employé ennuyé cliquant sur un lien. Pre-auth signifie que le “Mur” est disparu. Un attaquant assis dans un café à Francfort peut cibler une instance à New York et être dans le réseau avant que le café du matin ne soit prêt.
3. Haute privilège par conception
Le contexte utilisateur du site dans lequel ces commandes s’exécutent est hautement privilégié. Bien que pas techniquement “root”, il a suffisamment de levier pour :
- Dump la base de données PostgreSQL (contenant la configuration et potentiellement des métadonnées sensibles)
- Manipuler les sessions gérées
- Intercepter le trafic réseau passant par l’appareil
- Créer et autoriser de nouvelles sessions administratives
Chronologie d’une crise : la brèche du Département du Trésor américain
La rapidité avec laquelle cela est passé de “découverte” à “exploitation massive” témoigne du cycle de menace moderne, accéléré par l’IA. L’incident le plus notable est la brèche du Département du Trésor américain.
| Date | Événement |
|---|---|
| Septembre 2024 | Silk Typhoon (APT27) obtient un accès initial à l’infrastructure BeyondTrust |
| 2 décembre 2024 | Activité suspecte détectée sur la plateforme BeyondTrust |
| 5 décembre 2024 | BeyondTrust confirme la brèche et prend des mesures de protection |
| 8 décembre 2024 | BeyondTrust informe le Département du Trésor et d’autres clients affectés ; le service à distance est arrêté |
| 16 décembre 2024 | BeyondTrust identifie et divulgue CVE-2024-12356, publie un correctif |
| 18 décembre 2024 | CVE-2024-12686 divulgué dans l’avis BT24-11 |
| 19 décembre 2024 | CISA ajoute CVE-2024-12356 au catalogue des vulnérabilités exploitées connues (KEV) |
| 30 décembre 2024 | Le Département du Trésor informe le Congrès par lettre officielle |
| Janvier 2025 | CISA ajoute CVE-2024-12686 au catalogue KEV |
| Janvier 2025 | Rapid7 révèle l’utilisation de CVE-2025-1094 (injection SQL PostgreSQL) dans la chaîne d’exploitation |
| 5 mars 2025 | Le Département de la Justice américain inculpe deux membres de Silk Typhoon : Yin Kecheng et Zhou Shuai |
La connexion Silk Typhoon : un cauchemar récurrent
L’un des aspects les plus préoccupants des vulnérabilités BeyondTrust est leur exploitation par Silk Typhoon (également connu sous le nom d’APT27, Hafnium, Bronze Union, Emissary Panda). Ce groupe soutenu par l’État chinois a été lié à la brèche du Département du Trésor en décembre 2024.
Profil d’attaque
Dans la brèche du Trésor, les acteurs malveillants :
- Ont volé une clé API SaaS de support à distance BeyondTrust en septembre 2024
- Ont exploité CVE-2024-12356 chaînée avec CVE-2025-1094 pour obtenir une exécution de code à distance non authentifiée
- Ont accédé à environ 419 ordinateurs du Trésor dans plusieurs bureaux
- Ont exfiltré plus de 3 000 fichiers non classifiés depuis des stations de travail
- Ont ciblé le bureau du Contrôle des actifs étrangers (OFAC) — en se concentrant sur les données de sanctions et d’application commerciale
- Ont compromis des comptes de haut niveau y compris des fichiers liés à la secrétaire Janet Yellen et au secrétaire adjoint Wally Adeyemo
La brèche est restée non détectée pendant environ trois mois (de septembre à décembre 2024), soulignant la sophistication de Silk Typhoon dans le maintien de la discrétion dans des environnements compromis.
Évolution des tactiques de Silk Typhoon
Selon une recherche de Microsoft Threat Intelligence publiée en mars 2025, Silk Typhoon a considérablement fait évoluer ses tactiques :
- Focalisation sur la chaîne d’approvisionnement : passant de cibles organisationnelles directes à des MSP et des fournisseurs de services IT
- Expertise cloud : démontrant une compréhension sophistiquée des environnements on-premises et cloud
- Vol de clés API : abusant de clés API volées et de crédentials compromis comme vecteurs d’entrée principaux
- Abus d’applications OAuth : compromettant des applications multi-locataires avec des permissions administratives
- Exfiltration de données via Microsoft Graph : récoltant des e-mails, OneDrive, et SharePoint via des API légitimes
- Reconnaissance de mots de passe : découvrant des mots de passe d’entreprise divulgués sur des dépôts publics comme GitHub
Microsoft décrit Silk Typhoon comme ayant “l’une des plus grandes empreintes de ciblage parmi les acteurs de menace chinois,” capable de rapidement exploiter des vulnérabilités zero-day.
Contexte historique
Ce n’est pas la première fois que Silk Typhoon utilise des outils d’accès à distance :
- 2021 : a exploité quatre vulnérabilités zero-day dans Microsoft Exchange Server
- 2023 : a compromis Citrix NetScaler ADC et Gateway (CVE-2023-3519)
- 2024 : a exploité des pare-feux Palo Alto Networks (CVE-2024-3400)
- Janvier 2025 : a exploité la vulnérabilité zero-day Ivanti Pulse Connect VPN (CVE-2025-0282)
Ce schéma indique un “défi localisé et récurrent” avec la validation des entrées dans les voies d’exécution d’accès à distance. Pour les attaquants, ces outils sont le cadeau qui continue de donner.
De la brèche de l’appareil au domaine administrateur : la chaîne de l’attaque
Comment un attaquant passe-t-il d’une simple requête WebSocket à l’encryptage de tout votre environnement ? C’est plus rapide qu’on ne le pense.
Étape 1 : Reconnaissance (Le scan)
Les attaquants utilisent des scanners automatisés pour identifier des instances BeyondTrust vulnérables exposées à Internet. Au moment de la divulgation :
- Censys a observé 8 602 instances BeyondTrust RS & PRA exposées globalement (2 janvier 2025)
- 72 % des instances exposées étaient géolocalisées aux États-Unis
- D’ici le 6 janvier 2025, ce nombre a augmenté à 13 548 instances — environ 5 000 de plus en seulement 4 jours
Étape 2 : La poignée de main (L’exploitation)
L’attaquant envoie la requête WebSocket conçue vers des points de terminaison vulnérables. En quelques secondes, il dispose de la capacité d’exécution de commandes sur l’appareil. Dans des cas documentés, les attaquants ont déployé :
- China Chopper ou AntSword web shells
- Scripts Python personnalisés pour la manipulation de bases de données
- Outils pour le détournement temporaire de comptes administratifs
Étape 3 : Récolte de crédentials & détournement de session
Les recherches ont observé que les attaquants :
- Interrogent la base de données PostgreSQL pour extraire crédentials stockés, jetons de session, et clés SSH
- Détournent le compte administratif principal (ID utilisateur 1) en injectant de nouveaux hash de mot de passe
- Obtiennent un accès GUI complet pendant 60-120 secondes — juste assez pour autoriser une nouvelle session “Support”
Étape 4 : Mouvement latéral
En utilisant les capacités natives “Jump” de l’appareil, les attaquants se déplacent vers des cibles à haute valeur :
- Contrôleurs de domaine pour un accès complet à Active Directory
- Serveurs de sauvegarde pour garantir la perte de données
- Systèmes d’infrastructure critique avec accès privilégié
Les outils de persistance documentés incluent :
- Outil de gestion à distance SimpleHelp (Remote Monitoring and Management)
- Backdoors VShell
- SparkRAT pour la persistance multiplateforme
Étape 5 : Persistance & escalade de privilèges
L’analyse de Arctic Wolf en février 2025 a révélé que les attaquants :
- Déployaient des binaires SimpleHelp renommés pour apparaître légitimes (ex. “remote access.exe”)
- Écrivaient des binaires dans le répertoire racine ProgramData avec exécution au niveau SYSTEM
- Utilisaient PSExec pour installer SimpleHelp sur plusieurs appareils dans l’environnement
- Créaient de nouveaux comptes de domaine et les ajoutaient à des groupes à privilèges élevés :
- Administrateurs de domaine
- Administrateurs d’entreprise
- Utilisaient AdsiSearcher pour inventorier Active Directory
- Exploitaient Impacket SMBv2 pour l’accès à distance et le mouvement latéral
Étape 6 : Exfiltration de données & objectifs finaux
Les données sensibles sont :
- Compressées et exfiltrées via tunneling DNS ou canaux Out-of-Band Application Security Testing (OAST)
- Volées via des API légitimes (Microsoft Graph, Exchange Web Services)
- Récoltées depuis e-mails, OneDrive, et SharePoint en utilisant des applications OAuth compromises
Les charges utiles finales peuvent inclure :
- Déploiement de ransomware pour gain financier
- Espionnage à long terme pour des objectifs d’État-nation
- Compromission de la chaîne d’approvisionnement pour un accès client en aval
Êtes-vous à risque ? Versions affectées & remédiation
Si vous utilisez des produits BeyondTrust auto-hébergés, la fenêtre du “attendre et voir” est fermée depuis plusieurs mois.
Produits affectés & versions
| Produit | CVE | Versions affectées | Version corrigée |
|---|---|---|---|
| Remote Support (RS) | CVE-2024-12356 | Toutes versions | 24.3.1+ |
| Privileged Remote Access (PRA) | CVE-2024-12356 | Toutes versions | 24.3.1+ |
| Remote Support (RS) | CVE-2024-12686 | 24.3.1 et antérieures | 22.1+ (nécessite patch) |
| Privileged Remote Access (PRA) | CVE-2024-12686 | 24.3.1 et antérieures | 22.1+ (nécessite patch) |
Note critique : Si vous utilisez des versions legacy (RS < 21.3 ou PRA < 22.1), vous ne pouvez pas appliquer le correctif directement. Vous devez d’abord mettre à jour vers une version supportée. Ces instances legacy sont les principales cibles des opérations malveillantes actuelles.
Clients cloud : BeyondTrust a automatiquement corrigé toutes les instances SaaS, sans action supplémentaire.
Étapes de mitigation immédiates
1. Appliquez le patch immédiatement
C’est la seule solution permanente. Suivez les instructions du fournisseur sur BeyondTrust Trust Center.
2. Restreignez l’accès réseau
- Mettez le portail web de l’appareil derrière un VPN ou utilisez une liste d’autorisation IP stricte
- Ne laissez pas les points de terminaison WebSocket exposés à Internet
- Segmentez l’accès réseau vers des réseaux administratifs de confiance uniquement
3. Auditez les logs de manière agressive
Recherchez des indicateurs de compromission :
Modèles d’accès HTTP :
- Requêtes HTTP GET vers /get_portal_info suivies d’upgrades WebSocket immédiats vers /nw
- Paramètres remoteVersion inhabituels dans les handshakes WebSocket
- Connexions anormales depuis des localisations géographiques inattendues
Indicateurs post-exploitation :
- Binaires SimpleHelp dans le répertoire ProgramData
- Description du fichier : “SimpleHelp Remote Access Client”
- Noms de fichiers suspects : “remote access.exe”, “support.exe”
- Activité PSExec distribuant des exécutables sur plusieurs appareils
- Requêtes de configuration de session Impacket SMBv2 en début de compromission
- Requêtes AdsiSearcher pour l’inventaire Active Directory
- Création de nouveaux comptes de domaine et ajout à des groupes d’administrateurs
- Commandes net user et nltest inhabituelles pour la reconnaissance du domaine
4. Surveillez le trafic sortant
- Recherchez des requêtes DNS inhabituelles ou des connexions à des domaines OAST connus (ex. interactsh, burpcollaborator)
- Surveillez l’exfiltration de données via des API légitimes (Microsoft Graph, EWS)
- Vérifiez les consentements d’applications OAuth suspects avec des permissions administratives
5. Rotation des crédentials
- Changez toutes les crédentials stockées dans le coffre-fort de crédentials BeyondTrust
- Modifiez les mots de passe administratifs pour les comptes ayant accès à l’appareil
- Révouez et révisez les permissions d’applications OAuth suspectes
- Auditez les permissions des applications dans Azure AD/Entra ID
6. Recherchez la persistance
- Cherchez des outils légitimes renommés (SimpleHelp, AnyDesk, TeamViewer) utilisés de manière malveillante
- Vérifiez la présence de webshells (China Chopper, AntSword) dans les répertoires accessibles via le web
- Examinez les tâches planifiées et éléments de démarrage pour des mécanismes de persistance
La réalité de la reconnaissance : intelligence GreyNoise
Les capteurs GreyNoise fournissent des renseignements précieux sur le paysage d’exploitation :
Chronologie de l’exploitation précoce
- 10 février 2025 : publication d’exploits de preuve de concept pour des variantes plus récentes sur GitHub
- 11 février 2025 : GreyNoise enregistre des sondages de reconnaissance pour des instances vulnérables
- En moins de 24 heures : campagnes de scan massives observées mondialement
Caractéristiques de l’attaque
- Acteur dominant unique : une seule IP représente 86 % de toutes les sessions de reconnaissance observées
- Associée à un service VPN commercial à Francfort, Allemagne
- Active depuis 2023, adoptant rapidement de nouvelles vérifications de vulnérabilités
- Ports non standard ciblés : les attaquants ont systématiquement sondé des clusters de ports non standard, suggérant une connaissance que les entreprises déplacent souvent BeyondTrust vers des ports non par défaut pour “la sécurité par l’obscurité”
- Scan basé sur Linux : 100 % des sessions montraient des caractéristiques de pile Linux
- MSS de fingerprint TCP de 1358 (contre 1460 standard)
- Confirme l’encapsulation du tunnel VPN au niveau réseau
Sophistication du scan
Les attaquants ont démontré leur connaissance de : - Les modèles de déploiement par défaut et non par défaut de BeyondTrust - Les techniques OAST (Out-of-Band Application Security Testing) pour la confirmation des vulnérabilités - L’exploitation simultanée de multiples vulnérabilités sur plusieurs produits
Réponse CISA & Mandats fédéraux
L’Agence de cybersécurité et d’infrastructure des États-Unis (CISA) a pris des mesures agressives :
Catalogue des vulnérabilités exploitées connues (KEV)
CVE-2024-12356 : ajoutée le 19 décembre 2024 - Les agences fédérales doivent appliquer le correctif avant une date limite spécifique (généralement 3 semaines)
CVE-2024-12686 : ajoutée le 13 janvier 2025 - Les agences fédérales doivent appliquer le correctif avant le 3 février 2025
Directive CISA
CISA recommande vivement à toutes les organisations — pas seulement aux agences fédérales — de :
- Appliquer immédiatement les mitigations selon les instructions du fournisseur
- Cesser d’utiliser le produit si les mitigations ne sont pas disponibles
- Prioriser la remédiation rapide pour réduire l’exposition aux cyberattaques
Le paradoxe du périmètre protégé
Les incidents BeyondTrust mettent en évidence un paradoxe fondamental en cybersécurité moderne : les outils que nous utilisons pour sécuriser notre périmètre sont souvent les trous les plus dangereux.
Le problème avec l’accès privilégié centralisé
Les appareils traditionnels, même haut de gamme comme BeyondTrust, créent un “centre de gravité” pour les attaquants. Si ce centre est compromis, toute l’architecture de sécurité s’effondre.
Pourquoi les outils d’accès à distance sont des cibles privilégiées : - Ils sont des passerelles conçues pour l’accès privilégié - Ils stockent des crédentials pour les systèmes les plus sensibles - Ils résident dans des segments réseau privilégiés - Ils ont des raisons légitimes d’accéder à tout - Ils sont souvent exposés à Internet pour le support à distance
La montée de la “dette d’identité”
Ces vulnérabilités exposent aussi la “Dette d’Identité” que portent de nombreuses organisations :
- Trop de comptes de service hautement privilégiés non gérés liés à ces appareils
- Permissions excessives accordées aux comptes de support “au cas où”
- Crédentials obsolètes qui auraient dû être renouvelés depuis longtemps
- Surveillance insuffisante de l’utilisation des accès privilégiés
Lorsque l’appareil tombe, ces comptes deviennent les armes les plus puissantes de l’attaquant.
La nouvelle norme de défense : aller au-delà des points de défaillance uniques
Les CVE-2024-12356, CVE-2024-12686, et autres vulnérabilités ne sont pas seulement des bugs ; ce sont des avertissements. Ils prouvent qu’en 2025, avec toutes nos défenses pilotées par l’IA, un simple manque de validation d’entrée dans un script critique peut tout contourner.
La voie à suivre : architecture Zero Trust
L’industrie doit accélérer la transition de “Remote Access” à “Identity-Based Access” selon les principes Zero Trust :
Éliminer les privilèges permanents
- Mettre en œuvre l’accès Just-In-Time (JIT) pour les tâches administratives
- Utiliser des crédentials éphémères qui expirent après une seule utilisation
- Accorder l’accès au moindre privilège basé sur le contexte et le risque
Décentraliser la gestion d’identité
- Distribuer l’accès privilégié sur plusieurs systèmes isolés
- Mettre en œuvre la micro-segmentation pour limiter la portée
- Utiliser la fédération d’identité avec une MFA forte partout
Adopter une mentalité de “Supposer la brèche”
- Surveiller en continu les accès privilégiés anormaux
- Mettre en œuvre l’analyse comportementale pour la détection de menaces d’identité
- Déployer la technologie de déception autour des systèmes clés
Sécuriser la chaîne d’approvisionnement
- Vérifier rigoureusement les solutions d’accès à distance tierces
- Mettre en œuvre la gestion des risques de la chaîne d’approvisionnement
- Exiger les attestations de sécurité des fournisseurs
- Envisager des alternatives auto-hébergées avec une surveillance renforcée
Leçons pour les équipes de sécurité
Pour les CISOs et leaders en sécurité : - Les outils d’accès à distance doivent être traités comme des actifs Tier-0 nécessitant une protection maximale - Mettre en œuvre une défense en profondeur autour de la gestion des accès privilégiés - Mener des exercices de simulation pour les brèches basées sur l’identité - Investir dans le renseignement sur les menaces pour une alerte précoce
Pour les équipes SOC : - Intégrer des flux d’intelligence sur les vulnérabilités en temps réel - Surveiller les tentatives de reconnaissance précoce (même échouées) - Créer des règles de détection personnalisées pour anomalies WebSocket - Rechercher des outils légitimes renommés utilisés de manière malveillante
Pour les équipes IAM : - Auditer tous les comptes privilégiés trimestriellement - Mettre en œuvre la rotation automatique des crédentials - Surveiller l’abus OAuth et l’utilisation suspecte d’API - Utiliser des stations de travail à privilèges (PAWs) pour les tâches administratives
Conclusion : la bataille sans fin
Les incidents de sécurité BeyondTrust 2024-2025 rappellent brutalement que les solutions de gestion des accès privilégiés peuvent elles-mêmes devenir la voie d’attaque ultime. L’ironie est amère mais instructive : les outils conçus pour sécuriser nos accès les plus sensibles peuvent, lorsqu’ils sont compromis, donner aux attaquants tout ce dont ils ont besoin.
Points clés à retenir :
- Les vulnérabilités RCE pré-authentification dans les outils d’identité et d’accès représentent un risque catastrophique
- Les acteurs étatiques comme Silk Typhoon ciblent activement ces systèmes de grande valeur
- Les attaques par la chaîne d’approvisionnement via des MSP compromis et des fournisseurs de services IT sont en augmentation
- La détection exige de la vigilance : les brèches peuvent durer des mois sans être détectées
- Zero Trust n’est pas optionnel : il faut éliminer les points de défaillance uniques
Le “Saint Graal” du RCE existe parce que nous comptons encore sur des points de défaillance uniques pour nos accès les plus sensibles. L’industrie doit désormais adopter :
- Des architectures d’identité décentralisées
- Des permissions éphémères, à la demande
- Une vérification et une surveillance continues
- La segmentation et l’isolation des systèmes privilégiés
Aucun seul appareil — aussi fiable, coûteux ou “sûr” qu’il prétende être — ne devrait détenir les clés de tout votre domaine. La brèche BeyondTrust nous l’a encore une fois enseigné.
La question est : allons-nous enfin apprendre ?
Ressources & références
- Avis de sécurité BeyondTrust
- Catalogue des vulnérabilités exploitées connues (KEV)
- Recherche en vulnérabilités Rapid7
- Renseignement sur les menaces Arctic Wolf
- Intelligence GreyNoise
- Renseignement Microsoft : Silk Typhoon
- Indictements Silk Typhoon - Département de la Justice
Cet article a été mis à jour en février 2025 avec les dernières informations sur les menaces et exploitations.
Related InstaTunnel pages
Continue from this article into the most relevant product guides and workflows.
Related Topics
Keep building with InstaTunnel
Read the docs for implementation details or compare plans before you ship.