Η
CISA
προειδοποιεί ότι το περιβάλλον του Εργαλείου Αξιολόγησης Χημικής Ασφάλειας (CSAT) παραβιάστηκε τον Ιανουάριο, αφού χάκερ ανέπτυξαν ένα webshell στη συσκευή της Ivanti, εκθέτοντας πιθανώς ευαίσθητες αξιολογήσεις και σχέδια ασφαλείας.
Το CSAT είναι μια διαδικτυακή πύλη που χρησιμοποιείται από εγκαταστάσεις για να αναφέρουν την κατοχή τους χημικών ουσιών που θα μπορούσαν να χρησιμοποιηθούν για τρομοκρατία, προκειμένου να διαπιστωθεί εάν θεωρούνται εγκαταστάσεις υψηλού κινδύνου. Εάν θεωρούνται υψηλού κινδύνου, το εργαλείο θα τους ζητήσει να ανεβάσουν μια
έρευνα
αξιολόγησης ευπάθειας ασφαλείας (SVA) και σχεδίου
ασφάλεια
ς
τοποθεσία
ς (SSP) που περιέχει ευαίσθητες πληροφορίες σχετικά με την εγκατάσταση.
Τον Μάρτιο,
Το Record αναφέρθηκε πρώτα
ότι η CISA υπέστη παραβίαση μετά την εκμετάλλευση της συσκευής Ivanti της υπηρεσίας, με αποτέλεσμα να τεθεί εκτός σύνδεσης δύο συστήματα κατά τη διερεύνηση του συμβάντος.
Αν και η CISA δεν κοινοποίησε λεπτομέρειες για το περιστατικό, οι πηγές του The Record δήλωσαν ότι επρόκειτο για την πύλη προστασίας υποδομής (IP) και το εργαλείο αξιολόγησης χημικής ασφάλειας (CSAT).
Η CISA επιβεβαιώνει την παραβίαση
Η CISA επιβεβαίωσε τώρα ότι η συσκευή CSAT Ivanti Connect Secure παραβιάστηκε στις 23 Ιανουαρίου 2024, επιτρέποντας σε έναν παράγοντα απειλής να ανεβάσει ένα κέλυφος ιστού στη συσκευή.
Στη συνέχεια, ο ηθοποιός της απειλής είχε πρόσβαση σε αυτό το κέλυφος ιστού πολλές φορές μέσα σε δύο ημέρες.
Μόλις η CISA ανακάλυψε την παραβίαση, έθεσε τη συσκευή εκτός σύνδεσης για να διερευνήσει τυχόν ενέργειες που έγιναν από τον παράγοντα απειλής και ποια δεδομένα ήταν δυνητικά εκτεθειμένα.
Η CISA δεν κοινοποίησε ποιες ευπάθειες έγιναν αντικείμενο εκμετάλλευσης, αντ’ αυτού αναφέρεται σε α
έγγραφο CISA
σε φορείς απειλών που εκμεταλλεύονται πολλαπλά τρωτά σημεία στις συσκευές Ivanti Connect Secure και Policy Secure Gateway.
Αυτό το
έγγραφο
αναφέρει τρία τρωτά σημεία που παρακολουθούνται ως
CVE-2023-46805
,
CVE-2024-21887
και
CVE-2024-21893
, όλα αποκαλύφθηκαν πριν από την παραβίαση της CISA στις 23 Ιανουαρίου, με τους φορείς απειλών να τους εκμεταλλεύονται γρήγορα. Ένα θέμα ευπάθειας, το CVE-2024-21888, αποκαλύφθηκε στις 22 Ιανουαρίου, μία ημέρα πριν από την παραβίαση της συσκευής Ivanti της CISA.
Ενώ η CISA λέει ότι όλα τα δεδομένα στην εφαρμογή CSAT είναι κρυπτογραφημένα με κρυπτογράφηση AES 256 και δεν υπάρχουν στοιχεία που να αποδεικνύουν ότι τα δεδομένα CSAT έχουν κλαπεί, αποφάσισαν να ειδοποιήσουν εταιρείες και ιδιώτες με μεγάλη προσοχή.
“Η CISA ειδοποιεί όλους τους επηρεαζόμενους συμμετέχοντες στο πρόγραμμα CFATS με άφθονη προσοχή ότι αυτές οι πληροφορίες θα μπορούσαν να είχαν ακατάλληλη πρόσβαση”, εξηγεί η
Ειδοποίηση παραβίασης δεδομένων της CISA
.
“Ακόμη και χωρίς στοιχεία διείσδυσης δεδομένων, ο αριθμός των δυνητικών ατόμων και οργανισμών των οποίων τα δεδομένα κινδύνευαν δυνητικά εκπλήρωσε το όριο ενός μεγάλου περιστατικού βάσει του Federal Information Security Modernization Act (FISMA).”
Τα δεδομένα που θα μπορούσαν ενδεχομένως να είχαν εκτεθεί περιλαμβάνουν έρευνες στην κορυφαία οθόνη, αξιολογήσεις ευπάθειας ασφαλείας, σχέδια ασφάλειας ιστότοπου, υποβολές προγράμματος ασφάλειας προσωπικού και λογαριασμούς χρηστών CSAT.
Αυτές οι υποβολές περιέχουν εξαιρετικά ευαίσθητες πληροφορίες σχετικά με τη στάση ασφαλείας και το χημικό απόθεμα των εγκαταστάσεων που χρησιμοποιούν το εργαλείο CSAT.
Η CISA λέει ότι οι λογαριασμοί χρηστών CSAT περιείχαν τις ακόλουθες πληροφορίες.
- Ψευδώνυμα
- Τόπος γέννησης
- Ιθαγένεια
- Αριθμός διαβατηρίου
- Αριθμός αποζημίωσης
- Ενας αριθμός
- Καθολικός αριθμός αναγνωριστικού εισόδου
- TWIC ID Αριθμός
Ενώ η CISA λέει ότι δεν υπάρχουν στοιχεία για κλοπή διαπιστευτηρίων, συνιστά σε όλους τους κατόχους λογαριασμών CSAT να επαναφέρουν τους κωδικούς πρόσβασης για οποιονδήποτε από τους λογαριασμούς τους που χρησιμοποίησαν τον ίδιο κωδικό πρόσβασης.
Η CISA στέλνει διαφορετικές επιστολές ειδοποίησης ανάλογα με το αν είστε
άτομο
ή
οργάνωση
.
VIA:
bleepingcomputer.com
0