Неизвестен противник е компрометирал приложение на CISA, съдържащо данните за химическата сигурност, чрез уязвимост в устройството Ivanti Connect Secure през януари тази година.
Неизвестен извършител на атаката може да е получил достъп до критична информация за химически съоръжения в САЩ, като е компрометирал инструмента за оценка на химическата сигурност (CSAT) на Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) по-рано тази година.
Данните, до които противникът може да е получил достъп, включват видовете и количествата химикали, съхранявани в различни съоръжения, специфични за съоръжението оценки на уязвимостта на сигурността, планове за сигурност на обекта и информация за самоличността на персонала и лица, които може да са искали достъп до зони с ограничен достъп във високорискови съоръжения.
CISA изискваше от химическите обекти в страната да предоставят тази информация като част от програмата на Министерството на вътрешната сигурност „Стандарти за борба с тероризма в химическите обекти“ (CFATS) за повишаване на сигурността на високорисковите химически обекти в САЩ. Срокът на действие на CFATS изтече през юли 2023 г.
Според CISA извършителят може да е получил достъп до данните в приложението CSAT, след като е верижно свързал няколко уязвимости от типа „нулев ден“, които Ivanti разкри по-рано тази година в своето устройство Connect Secure. В уведомително писмо до заинтересованите страни заместник-директорът на DHS Кели Мъри заяви, че проникването е станало в рамките на два дни, някъде между 23 и 26 януари 2024 г.
След като е получил достъп до устройството на Ivanti, престъпникът е разположил в него уеб обвивка, която е позволила отдалечено изпълнение на команди и произволно записване на файлове в основната система, каза Мъри. Атакуващият е имал достъп до уеб обвивката няколко пъти през двудневния период, но няма доказателства за ексфилтрация на данни или странично движение извън устройството Ivanti, каза тя.
„Въпреки че разследването на CISA не откри доказателства за ексфилтрация на данни, това може да е довело до потенциален неоторизиран достъп до Top-Screen проучвания, оценки на уязвимостта на сигурността, планове за сигурност на обектите, подадени документи по програмата за гарантиране на персонала и потребителски акаунти в CSAT“, каза Мъри. „Цялата информация в CSAT беше криптирана с помощта на криптиране AES 256, а информацията от всяко приложение имаше допълнителни контроли за сигурност, ограничаващи вероятността за страничен достъп“, отбеляза тя.
Хауърд Гудман, технически директор в Skybox Security, казва, че нарушението има потенциални последици за сигурността, като се има предвид естеството на инструмента CSAT и чувствителните данни, които той съдържа. „Разкриването на химическите инвентаризации и плановете за сигурност потенциално може да бъде използвано от злонамерени лица за насочване към съоръжения, което представлява риск за обществената безопасност и околната среда“, казва Гудман.
Засегнатите организации трябва да извършат задълбочен преглед на съществуващите си мерки за киберсигурност и ако е необходимо, да ги актуализират. Те следва също така да обмислят засилване на мерките за физическа и киберсигурност, особено в областите, посочени в подадената от тях CSAT. Освен това те трябва да „увеличат възможностите за наблюдение и откриване на заплахи, за да идентифицират всякакви подозрителни дейности, които могат да показват целенасочени атаки“, казва Гудман. „Ангажирайте се в обмена на информация с колеги от бранша и съответните правителствени агенции, за да сте информирани за потенциалните заплахи и най-добрите практики.“
Уведомлението за нарушение на DHS не идентифицира конкретната уязвимост или уязвимости на Ivanti, които извършителят е използвал, за да получи достъп до приложението CSAT. То обаче насочва заинтересованите страни към консултация на CISA от 29 февруари 2024 г., която предупреждава за дейност по експлоатиране, насочена към три уязвимости в Ivanti Connect и Policy Secure Gateways: CVE-2023-46805, CVE-2024-21887 и CVE-2024-21893. Пропуските засягат всички поддържани версии на шлюзовете Ivanti Connect Secure и Ivanti Policy Secure. Нападателите могат да използват уязвимостите по верижен начин, за да заобиколят механизмите за удостоверяване, да изготвят злонамерени заявки и да изпълняват произволни команди с привилегии на ниво администратор в засегнатите системи.
Пропуските бяха сред няколкото критични уязвимости, които Ivanti разкри по-рано тази година, което наложи цялостно преразглеждане на практиките за сигурност.
В коментар, изпратен по електронната поща, Роджър Граймс, евангелист по въпросите на защитата, базирана на данни, в KnowBe4, изрази известно недоволство от решението на CISA да не идентифицира конкретните уязвимости, които хакерите са използвали, за да получат достъп до приложението CSAT, или дали агенцията е закърпила дефекта. „Ако те са били използвани от известна уязвимост, за която е имало кръпка, което е по-вероятно, защо кръпката не е била инсталирана?“- чуди се Граймс. „Дали това се е дължало просто на факта, че експлойтът е станал по-бързо, отколкото е могла да бъде приложена кръпката, или кръпката е била пропусната?“
Самата CISA препоръча на всички засегнати химически обекти да поддържат настоящите си позиции за киберсигурност и физическа сигурност и да се справят с уязвимостите по обичайния начин. „Въпреки че разследването не откри доказателства за кражба на идентификационни данни – добави CISA – CISA насърчава лицата, които са имали акаунти в CSAT, да нулират паролите за всеки акаунт, служебен или личен, който е използвал същата парола.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.