CISA alerta instalações químicas sobre possível roubo de dados

O ataque direcionado ao programa Chemical Facility Anti-Terrorism Standards foi vinculado a vulnerabilidades amplamente exploradas em VPNs de acesso remoto da Ivanti.

Resumo:

  • A Cybersecurity and Infrastructure Security Agency não pode descartar que dados de instalações químicas tenham sido roubados durante um ataque em janeiro visando os sistemas da agência, disse a CISA em uma notificação de segunda-feira . A agência notificou organizações que representam mais de 100.000 pessoas sobre potencial exposição.
  • Um agente de ameaça não identificado invadiu e teve acesso à Ferramenta de Avaliação de Segurança Química da CISA de 23 a 26 de janeiro, mas a agência disse não ter encontrado evidências de roubo de dados ou movimentação lateral.
  • “Embora a investigação da CISA não tenha encontrado evidências de exfiltração de dados, o comprometimento pode ter resultado em potencial acesso não autorizado a pesquisas de tela superior, avaliações de vulnerabilidade de segurança, planos de segurança do site, envios de programas de garantia de pessoal e contas de usuários do CSAT”, disse um porta-voz da agência por e-mail.

Visão geral:

A intrusão foi vinculada a vulnerabilidades de dia zero amplamente exploradas em VPNs de acesso remoto Ivanti, que a CISA usou no momento do ataque. Os invasores começaram a explorar as vulnerabilidades, CVE-2023-46805 e CVE-2024-21887 , no início de dezembro e a Ivanti lançou um patch de segurança para os CVEs em 31 de janeiro.

Para a CISA, a correção chegou tarde demais. Os sistemas de varredura da agência identificaram atividade maliciosa em 26 de janeiro e, mais tarde, durante sua investigação, a CISA determinou que um webshell avançado foi instalado no dispositivo CSAT Ivanti Connect Secure explorado da CISA em 23 de janeiro.

“Este tipo de webshell pode ser usado para executar comandos maliciosos ou gravar arquivos no sistema subjacente”, disse a CISA na notificação na segunda-feira. “Nossa análise identificou ainda que um ator malicioso acessou o webshell várias vezes em um período de dois dias.”

A CISA, que não está mais usando os produtos Ivanti afetados, se recusou a dizer quais ações o invasor tomou quando acessou o webshell.

A agência manteve várias camadas de defesa e separação entre o dispositivo Ivanti explorado e dados potencialmente confidenciais, mas não pode descartar a possibilidade de acesso não autorizado, disse Kelly Murray, diretora associada da CISA, na segunda-feira, durante um webinar sobre o incidente.

As notificações , que a CISA enviou a todas as organizações potencialmente impactadas, foram necessárias porque a violação atingiu o limite de um incidente grave envolvendo acesso não autorizado a informações de identificação pessoal de pelo menos 100.000 pessoas, de acordo com a Lei Federal de Gestão de Segurança da Informação de 2002.

“Quando os dados estão em risco e não podemos descartar que o acesso foi concedido, somos obrigados a fazer essas notificações”, disse Murray.

A CISA bloqueou o acesso da indústria ao sistema CSAT em julho, quando o Congresso se recusou a reautorizar o programa Chemical Facility Anti-Terrorism Standards. O sistema foi completamente tirado do ar quando a agência descobriu a intrusão em janeiro e permanecerá offline até que o programa seja reautorizado.