CISA diz que bandidos usaram bugs da Ivanti para bisbilhotar instalações químicas de alto risco
A agência de segurança cibernética dos EUA, CISA, está pedindo às instalações químicas de alto risco que protejam suas contas online depois que alguém invadiu seu portal da Ferramenta de Avaliação de Segurança Química (CSAT).
O CSAT é usado por instalações industriais que abrigam produtos químicos de interesse, dos quais existem mais de 300, em quantidades iguais ou superiores a um determinado limite. Esses produtos químicos podem ser perigosos se caírem em mãos erradas e podem ser usados em coisas como explosivos e armas.
Essencialmente, é usado para determinar quais instalações são consideradas de alto risco de acordo com os regulamentos dos Padrões Antiterrorismo de Instalações Químicas.
Em circunstâncias normais, apenas os membros da instalação que tenham passado no treinamento e certificação de Informações sobre Vulnerabilidade ao Terrorismo Químico têm permissão para acessar o portal.
No entanto, os criminosos com conhecimento para explorar vulnerabilidades nos gateways Ivanti Connect Secure e Policy Secure podem ter conseguido ignorar completamente o treinamento em janeiro.
A CISA não nomeou explicitamente as vulnerabilidades exploradas, mas apontou para um aviso de fevereiro que listou CVE-2023-46805, CVE-2024-21887 e CVE-2024-21893 como potencialmente os principais culpados.
Todos os três foram adicionados ao catálogo de vulnerabilidades exploradas conhecidas (KEV) da CISA em janeiro e receberam um prazo incomumente apertado de 48 horas para correção, ilustrando a gravidade percebida nos escalões superiores do governo.
“Em 26 de janeiro, a CISA identificou atividades potencialmente maliciosas que afetam o dispositivo CSAT Ivanti Connect Secure”, disse a agência cibernética em um comunicado. declaração. “Durante a investigação, identificamos que um ator malicioso instalou um webshell avançado no dispositivo Ivanti. Esse tipo de webshell pode ser usado para executar comandos maliciosos ou gravar arquivos no sistema subjacente.
“Nossa análise identificou ainda que um ator malicioso acessou o webshell várias vezes em um período de dois dias. Mais importante, nossa investigação não identificou acesso adversário além do dispositivo Ivanti nem exfiltração de dados do ambiente CSAT.”
A responsabilidade pela violação não foi oficialmente atribuída, mas quando demos uma olhada no onda de façanhas usando essas vulnerabilidades no início do ano, descobrimos que Grupos patrocinados pelo estado chinês pode ter backdoor em mais de 1.700 dispositivos usando-os.
Quanto ao que aqueles que invadiram o CSAT estavam fazendo, a CISA disse que não há evidências que sugiram que quaisquer dados tenham sido roubados.
Ele listou uma série de tipos de dados preocupantes que foram potencialmente acessados até certo ponto, mas disse em um carta [PDF] aos indivíduos afetados que todos os dados foram criptografados usando AES-256 e que as chaves de criptografia não eram acessíveis com o nível de acesso que os invasores tinham.
Entre os dados expostos estavam pesquisas Top-Screen, que são questionários on-line usados por instalações químicas para declarar quais produtos químicos de interesse possuem, e os detalhes enviados são usados para designar o grau de risco de segurança que essa instalação representa para os EUA.
O acesso não criptografado a essas informações teria fornecido aos espectadores detalhes sobre quais produtos químicos estão armazenados, onde – e em que quantidades.
Some isso ao potencial acesso não autorizado às avaliações de vulnerabilidade de segurança que também são enviadas pela instalação, que incluem detalhes de sua postura de segurança e exposição a vulnerabilidades, e isso seria uma receita para um perigo substancial.
Planos de segurança de sites criptografados também podem ter sido acessados, disse a CISA, o que teria exposto os pontos fracos da segurança física de uma instalação.
Os envios feitos por meio do Programa de Garantia de Pessoal também poderiam ter sido acessados por invasores se não estivessem devidamente protegidos.
Estes teriam exposto os dados pessoais de todos os funcionários das instalações que tiveram acesso aos produtos químicos de interesse, bem como o seu número de passaporte, número de identificação de entrada global e número do cartão TWIC.
Finalmente, contas de usuários CSAT também podem ter sido expostas, o que significa que nomes, cargos, endereços comerciais e números de telefone comerciais podem ter sido acessados.
“Seguindo os requisitos de relatórios da Lei Federal de Modernização da Segurança da Informação (FISMA), a CISA notificou os participantes do programa Chemical Facility Anti-Terrorism Standards (CFATS) sobre a intrusão e as informações potencialmente impactadas”, disse a CISA.
Embora não haja evidências que sugiram que qualquer dano material tenha sido gerenciado como resultado da intrusão, as instalações e indivíduos potencialmente afetados foram notificados “com muita cautela”.
Quanto aos conselhos acionáveis, a CISA apenas disse que aqueles que possuem contas CSAT deveriam pensar em alternar suas senhas para toda e qualquer conta que possam ter, incluindo contas comerciais e pessoais sem qualquer vínculo com o governo dos EUA, que usem a mesma senha. Apenas no caso de eles serem pegos em ataques de pulverização de senhas no futuro.
Fora isso, foi apenas mais um lembrete para corrigir os bugs do Ivanti que acabaram facilitando a invasão no CSAT da CISA.
Qualquer pessoa que tenha sido avaliada pelo Programa de Garantia de Pessoal entre dezembro de 2015 e julho de 2023 poderá em breve solicitar proteção de identidade – a CISA está apenas organizando esses serviços agora e eles serão disponibilizados em breve.
“O Departamento de Segurança Interna realizou uma avaliação baseada no risco sobre quais indivíduos poderiam enfrentar consequências adversas se as piores circunstâncias se concretizassem”, disse a CISA.
“Nesta avaliação, foi determinado que os indivíduos avaliados no âmbito do Programa de Garantia de Pessoal CFATS entre dezembro de 2015 e julho de 2023 eram a única população que enfrentava este risco devido às informações que foram potencialmente expostas”. ®