Търсене
Close this search box.

Неизвестен противник е компрометирал приложение на CISA, съдържащо данните за химическата сигурност, чрез уязвимост в устройството Ivanti Connect Secure през януари тази година.

Неизвестен извършител на атаката може да е получил достъп до критична информация за химически съоръжения в САЩ, като е компрометирал инструмента за оценка на химическата сигурност (CSAT) на Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) по-рано тази година.

Данните, до които противникът може да е получил достъп, включват видовете и количествата химикали, съхранявани в различни съоръжения, специфични за съоръжението оценки на уязвимостта на сигурността, планове за сигурност на обекта и информация за самоличността на персонала и лица, които може да са искали достъп до зони с ограничен достъп във високорискови съоръжения.

Данни, свързани с борбата с тероризма

CISA изискваше от химическите обекти в страната да предоставят тази информация като част от програмата на Министерството на вътрешната сигурност „Стандарти за борба с тероризма в химическите обекти“ (CFATS) за повишаване на сигурността на високорисковите химически обекти в САЩ. Срокът на действие на CFATS изтече през юли 2023 г.

Според CISA извършителят може да е получил достъп до данните в приложението CSAT, след като е верижно свързал няколко уязвимости от типа „нулев ден“, които Ivanti разкри по-рано тази година в своето устройство Connect Secure. В уведомително писмо до заинтересованите страни заместник-директорът на DHS Кели Мъри заяви, че проникването е станало в рамките на два дни, някъде между 23 и 26 януари 2024 г.

След като е получил достъп до устройството на Ivanti, престъпникът е разположил в него уеб обвивка, която е позволила отдалечено изпълнение на команди и произволно записване на файлове в основната система, каза Мъри. Атакуващият е имал достъп до уеб обвивката няколко пъти през двудневния период, но няма доказателства за ексфилтрация на данни или странично движение извън устройството Ivanti, каза тя.

„Въпреки че разследването на CISA не откри доказателства за ексфилтрация на данни, това може да е довело до потенциален неоторизиран достъп до Top-Screen проучвания, оценки на уязвимостта на сигурността, планове за сигурност на обектите, подадени документи по програмата за гарантиране на персонала и потребителски акаунти в CSAT“, каза Мъри. „Цялата информация в CSAT беше криптирана с помощта на криптиране AES 256, а информацията от всяко приложение имаше допълнителни контроли за сигурност, ограничаващи вероятността за страничен достъп“, отбеляза тя.

Потенциални последици за безопасността

Хауърд Гудман, технически директор в Skybox Security, казва, че нарушението има потенциални последици за сигурността, като се има предвид естеството на инструмента CSAT и чувствителните данни, които той съдържа. „Разкриването на химическите инвентаризации и плановете за сигурност потенциално може да бъде използвано от злонамерени лица за насочване към съоръжения, което представлява риск за обществената безопасност и околната среда“, казва Гудман.

Засегнатите организации трябва да извършат задълбочен преглед на съществуващите си мерки за киберсигурност и ако е необходимо, да ги актуализират. Те следва също така да обмислят засилване на мерките за физическа и киберсигурност, особено в областите, посочени в подадената от тях CSAT. Освен това те трябва да „увеличат възможностите за наблюдение и откриване на заплахи, за да идентифицират всякакви подозрителни дейности, които могат да показват целенасочени атаки“, казва Гудман. „Ангажирайте се в обмена на информация с колеги от бранша и съответните правителствени агенции, за да сте информирани за потенциалните заплахи и най-добрите практики.“

Ivanti нулеви дни

Уведомлението за нарушение на DHS не идентифицира конкретната уязвимост или уязвимости на Ivanti, които извършителят е използвал, за да получи достъп до приложението CSAT. То обаче насочва заинтересованите страни към консултация на CISA от 29 февруари 2024 г., която предупреждава за дейност по експлоатиране, насочена към три уязвимости в Ivanti Connect и Policy Secure Gateways: CVE-2023-46805, CVE-2024-21887 и CVE-2024-21893. Пропуските засягат всички поддържани версии на шлюзовете Ivanti Connect Secure и Ivanti Policy Secure. Нападателите могат да използват уязвимостите по верижен начин, за да заобиколят механизмите за удостоверяване, да изготвят злонамерени заявки и да изпълняват произволни команди с привилегии на ниво администратор в засегнатите системи.

Пропуските бяха сред няколкото критични уязвимости, които Ivanti разкри по-рано тази година, което наложи цялостно преразглеждане на практиките за сигурност.

В коментар, изпратен по електронната поща, Роджър Граймс, евангелист по въпросите на защитата, базирана на данни, в KnowBe4, изрази известно недоволство от решението на CISA да не идентифицира конкретните уязвимости, които хакерите са използвали, за да получат достъп до приложението CSAT, или дали агенцията е закърпила дефекта. „Ако те са били използвани от известна уязвимост, за която е имало кръпка, което е по-вероятно, защо кръпката не е била инсталирана?“- чуди се  Граймс. „Дали това се е дължало просто на факта, че експлойтът е станал по-бързо, отколкото е могла да бъде приложена кръпката, или кръпката е била пропусната?“

Самата CISA препоръча на всички засегнати химически обекти да поддържат настоящите си позиции за киберсигурност и физическа сигурност и да се справят с уязвимостите по обичайния начин. „Въпреки че разследването не откри доказателства за кражба на идентификационни данни – добави CISA – CISA насърчава лицата, които са имали акаунти в CSAT, да нулират паролите за всеки акаунт, служебен или личен, който е използвал същата парола.“

 

 

Източник: DARKReading

Подобни публикации

11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
10 октомври 2024

Marriott се съгласи да плати 52 млн. долара и д...

Marriott International се съгласи да плати 52 млн. долара и да напр...
10 октомври 2024

Атаката на American Water подновява фокуса върх...

Кибератака продължава да засяга най-голямата регулирана компания за...
Бъдете социални
Още по темата
11/10/2024

31 милиона потребители са з...

Интернет архивът потвърди, че е бил...
09/10/2024

American Water претърпява с...

Най-голямото публично търгувано дружество за водоснабдяване...
07/10/2024

Comcast и Truist Bank постр...

Comcast Cable Communications и Truist Bank...
Последно добавени
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
11/10/2024

31 милиона потребители са з...

Интернет архивът потвърди, че е бил...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!