CISA avertizează că mediul său Chemical Security Assessment Tool (CSAT) a fost încălcat în ianuarie după ce hackerii au implementat un webshell pe dispozitivul Ivanti, expunând potențial evaluări și planuri de securitate sensibile.
CSAT este un portal online folosit de facilități pentru a raporta posesia de substanțe chimice care ar putea fi folosite în scop terorist pentru a determina dacă sunt considerate facilități de mare risc. Dacă sunt considerate de mare risc, instrumentul îi va îndruma să încarce o evaluare a vulnerabilităților de securitate (SVA) și un plan de securitate al sitului (SSP) care conțin informații sensibile despre facilitățile respective.
În martie, The Record a raportat inițial că CISA a suferit o încălcare după ce dispozitivul Ivanti al agenției a fost exploatat, determinându-i să ia offline două sisteme în timp ce investigau incidentul.
În timp ce CISA nu ar fi împărtășit detalii despre incident, sursele The Record au afirmat că a fost Gateway-ul de Protecție a Infrastructurii (IP) și Chemical Security Assessment Tool (CSAT).
CISA a confirmat acum că aparatul CSAT Ivanti Connect Secure a fost încălcat la 23 ianuarie 2024, permițând unui actor malefic să încarce un webshell pe dispozitiv.
Ulterior, actorul malefic a accesat de mai multe ori acest webshell pe parcursul a două zile.
Odată ce CISA a descoperit încălcarea, au scos dispozitivul offline pentru a investiga acțiunile întreprinse de actorul malefic și ce date ar fi putut fi expuse potențial.
CISA nu a împărtășit ce vulnerabilități au fost exploatate, referindu-se în schimb la un document CISA privind actorii de amenințare care exploatează mai multe vulnerabilități pe dispozitivele Ivanti Connect Secure și Policy Secure Gateway.
Acest document face referire la trei vulnerabilități urmărite ca CVE-2023-46805, CVE-2024-21887 și CVE-2024-21893, toate divulgate anterior încălcării CISA din 23 ianuarie, cu actorii de amenințare exploatându-le rapid. O vulnerabilitate, CVE-2024-21888, a fost dezvăluită pe 22 ianuarie, cu o zi înainte ca dispozitivul Ivanti al CISA să fie încălcat.
Deși CISA afirmă că toate datele din aplicația CSAT sunt criptate cu criptare AES 256 și nu există dovezi că datele CSAT au fost furate, au decis să notifice companiile și persoanele într-o abundență de precauție.
„CISA notifică toți participanții afectați în programul CFATS dintr-o abundență de precauție că aceste informații ar fi putut fi accesate incorect,” explică notificarea privind încălcarea datelor a CISA.
„Chiar fără dovezi de exfiltrare a datelor, numărul potențial de persoane și organizații ale căror date erau potențial în pericol a atins pragul unui incident major conform Legii privind Modernizarea Securității Informațiilor Federale (FISMA).”
Datele care ar fi putut fi expuse potențial includ sondaje Top-Screen, Evaluări ale Vulnerabilităților de Securitate, Planuri de Securitate ale Site-urilor, trimiteri pentru Programul de Siguranță a Personalului și conturile de utilizator CSAT.
Aceste trimiteri conțin informații extrem de sensibile despre postura de securitate și inventarul chimic al facilităților care utilizează instrumentul CSAT.
CISA afirmă că conturile de utilizator CSAT conțineau următoarele informații.
Deși CISA spune că nu există dovezi că au fost furate acreditările, recomandă ca toți deținătorii de conturi CSAT să-și reseteze parolele pentru orice conturi care foloseau aceeași parolă.
CISA trimite diferite scrisori de notificare în funcție dacă sunteți o persoană individuală sau o organizație.
CISA avertizează cu privire la vulnerabilitatea activ exploatată de privilegii Linux
CISA avertizează cu privire la exploatarea de către hackeri a bug-urilor Chrome, EoL D-Link
CISA îndeamnă dezvoltatorii de software să elimine vulnerabilitățile de traversare a căilor
Este furnizorul dvs. de securitate cibernetică transparent în ceea ce privește remedierea vulnerabilităților?
Modulul Facebook PrestaShop exploatat pentru a fura carduri de credit
Leave a Reply