News

CISA diz que bandidos usaram bugs da Ivanti para bisbilhotar instalações químicas de alto risco

Photo of Angelica Vergas Angelica Vergas Send an email June 26, 2024
0 4 minutes read
CISA diz que bandidos usaram bugs da Ivanti para bisbilhotar instalações químicas de alto risco

A agência de segurança cibernética dos EUA, CISA, está pedindo às instalações químicas de alto risco que protejam suas contas online depois que alguém invadiu seu portal da Ferramenta de Avaliação de Segurança Química (CSAT).

O CSAT é usado por instalações industriais que abrigam produtos químicos de interesse, dos quais existem mais de 300, em quantidades iguais ou superiores a um determinado limite. Esses produtos químicos podem ser perigosos se caírem em mãos erradas e podem ser usados ​​em coisas como explosivos e armas.

Essencialmente, é usado para determinar quais instalações são consideradas de alto risco de acordo com os regulamentos dos Padrões Antiterrorismo de Instalações Químicas.

Em circunstâncias normais, apenas os membros da instalação que tenham passado no treinamento e certificação de Informações sobre Vulnerabilidade ao Terrorismo Químico têm permissão para acessar o portal.

No entanto, os criminosos com conhecimento para explorar vulnerabilidades nos gateways Ivanti Connect Secure e Policy Secure podem ter conseguido ignorar completamente o treinamento em janeiro.

A CISA não nomeou explicitamente as vulnerabilidades exploradas, mas apontou para um aviso de fevereiro que listou CVE-2023-46805, CVE-2024-21887 e CVE-2024-21893 como potencialmente os principais culpados.

Todos os três foram adicionados ao catálogo de vulnerabilidades exploradas conhecidas (KEV) da CISA em janeiro e receberam um prazo incomumente apertado de 48 horas para correção, ilustrando a gravidade percebida nos escalões superiores do governo.

“Em 26 de janeiro, a CISA identificou atividades potencialmente maliciosas que afetam o dispositivo CSAT Ivanti Connect Secure”, disse a agência cibernética em um comunicado. declaração. “Durante a investigação, identificamos que um ator malicioso instalou um webshell avançado no dispositivo Ivanti. Esse tipo de webshell pode ser usado para executar comandos maliciosos ou gravar arquivos no sistema subjacente.

“Nossa análise identificou ainda que um ator malicioso acessou o webshell várias vezes em um período de dois dias. Mais importante, nossa investigação não identificou acesso adversário além do dispositivo Ivanti nem exfiltração de dados do ambiente CSAT.”

A responsabilidade pela violação não foi oficialmente atribuída, mas quando demos uma olhada no onda de façanhas usando essas vulnerabilidades no início do ano, descobrimos que Grupos patrocinados pelo estado chinês pode ter backdoor em mais de 1.700 dispositivos usando-os.

Quanto ao que aqueles que invadiram o CSAT estavam fazendo, a CISA disse que não há evidências que sugiram que quaisquer dados tenham sido roubados.

Ele listou uma série de tipos de dados preocupantes que foram potencialmente acessados ​​até certo ponto, mas disse em um carta [PDF] aos indivíduos afetados que todos os dados foram criptografados usando AES-256 e que as chaves de criptografia não eram acessíveis com o nível de acesso que os invasores tinham.

Entre os dados expostos estavam pesquisas Top-Screen, que são questionários on-line usados ​​por instalações químicas para declarar quais produtos químicos de interesse possuem, e os detalhes enviados são usados ​​para designar o grau de risco de segurança que essa instalação representa para os EUA.

O acesso não criptografado a essas informações teria fornecido aos espectadores detalhes sobre quais produtos químicos estão armazenados, onde – e em que quantidades.

Some isso ao potencial acesso não autorizado às avaliações de vulnerabilidade de segurança que também são enviadas pela instalação, que incluem detalhes de sua postura de segurança e exposição a vulnerabilidades, e isso seria uma receita para um perigo substancial.

Planos de segurança de sites criptografados também podem ter sido acessados, disse a CISA, o que teria exposto os pontos fracos da segurança física de uma instalação.

Os envios feitos por meio do Programa de Garantia de Pessoal também poderiam ter sido acessados ​​por invasores se não estivessem devidamente protegidos.

Estes teriam exposto os dados pessoais de todos os funcionários das instalações que tiveram acesso aos produtos químicos de interesse, bem como o seu número de passaporte, número de identificação de entrada global e número do cartão TWIC.

Finalmente, contas de usuários CSAT também podem ter sido expostas, o que significa que nomes, cargos, endereços comerciais e números de telefone comerciais podem ter sido acessados.

“Seguindo os requisitos de relatórios da Lei Federal de Modernização da Segurança da Informação (FISMA), a CISA notificou os participantes do programa Chemical Facility Anti-Terrorism Standards (CFATS) sobre a intrusão e as informações potencialmente impactadas”, disse a CISA.

Embora não haja evidências que sugiram que qualquer dano material tenha sido gerenciado como resultado da intrusão, as instalações e indivíduos potencialmente afetados foram notificados “com muita cautela”.

Quanto aos conselhos acionáveis, a CISA apenas disse que aqueles que possuem contas CSAT deveriam pensar em alternar suas senhas para toda e qualquer conta que possam ter, incluindo contas comerciais e pessoais sem qualquer vínculo com o governo dos EUA, que usem a mesma senha. Apenas no caso de eles serem pegos em ataques de pulverização de senhas no futuro.

Fora isso, foi apenas mais um lembrete para corrigir os bugs do Ivanti que acabaram facilitando a invasão no CSAT da CISA.

Qualquer pessoa que tenha sido avaliada pelo Programa de Garantia de Pessoal entre dezembro de 2015 e julho de 2023 poderá em breve solicitar proteção de identidade – a CISA está apenas organizando esses serviços agora e eles serão disponibilizados em breve.

“O Departamento de Segurança Interna realizou uma avaliação baseada no risco sobre quais indivíduos poderiam enfrentar consequências adversas se as piores circunstâncias se concretizassem”, disse a CISA.

“Nesta avaliação, foi determinado que os indivíduos avaliados no âmbito do Programa de Garantia de Pessoal CFATS entre dezembro de 2015 e julho de 2023 eram a única população que enfrentava este risco devido às informações que foram potencialmente expostas”. ®

Source

Photo of Angelica Vergas Angelica Vergas Send an email June 26, 2024
0 4 minutes read
Photo of Angelica Vergas

Angelica Vergas

Related Articles

Ingi Doyle, mãe de dois filhos de Queensland (foto), ficou cansada e com dor após duas grandes cirurgias, incluindo um procedimento para substituir um enxerto de pele arterial infectado em julho deste ano

Eu era uma mãe super-fit de dois filhos que corria triatlos – até que tomei a segunda vacina contra a Covid. Eu lamento meu antigo eu todos os dias

1 hour ago
Ordens de detenção emitidas para 5 líderes do PTI enquanto o partido se prepara para o comício em Lahore

Fim anticlimático do show de poder do PTI em Lahore enquanto a polícia limpa o palco, as luzes se apagam após o prazo final das 18h

1 hour ago

Coração de vidro: genoma humano armazenado para a ‘eternidade’ em cristal de memória 5D

2 hours ago
As luzes se apagam no show de energia do PTI em Lahore quando o prazo das 18h expira

As luzes se apagam no show de energia do PTI em Lahore quando o prazo das 18h expira

2 hours ago

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button