Hackers atacam CISA
25 de Junho de 2024

A CISA (Agência de Segurança da Infraestrutura Cibernética dos EUA) está alertando que seu ambiente Chemical Security Assessment Tool (CSAT) sofreu uma violação em janeiro, depois que hackers implantaram um webshell em seu dispositivo Ivanti, expondo potencialmente avaliações e planos de segurança sensíveis.

O CSAT é um portal online utilizado por instalações para relatar sua posse de produtos químicos que poderiam ser utilizados para terrorismo, a fim de determinar se são consideradas instalações de alto risco.

Se forem consideradas de alto risco, a ferramenta solicita que carreguem uma avaliação de vulnerabilidade de segurança (SVA) e um questionário de plano de segurança do site (SSP) que contém informações sensíveis sobre a instalação.

Em março, The Record foi o primeiro a relatar que a CISA sofreu uma violação após seu dispositivo Ivanti ser explorado, levando à desativação de dois sistemas enquanto investigava o incidente.

Embora a CISA não tenha compartilhado detalhes sobre o incidente, as fontes de The Record disseram que foram o Gateway de Proteção de Infraestrutura (IP) e o Chemical Security Assessment Tool (CSAT).

A CISA agora confirmou que o appliance CSAT Ivanti Connect Secure foi violado em 23 de janeiro de 2024, permitindo que um ator de ameaça carregasse um webshell no dispositivo.

O ator de ameaça então acessou este webshell várias vezes durante dois dias.

Assim que a CISA descobriu a violação, o dispositivo foi desligado para investigar qualquer ação tomada pelo ator de ameaças e quais dados foram potencialmente expostos.

A CISA não compartilhou quais vulnerabilidades foram exploradas, referindo-se, em vez disso, a um documento da CISA sobre atores de ameaças explorando múltiplas vulnerabilidades nos dispositivos Ivanti Connect Secure e Policy Secure Gateway.

Este documento faz referência a três vulnerabilidades rastreadas como CVE-2023-46805, CVE-2024-21887 e CVE-2024-21893 , todas divulgadas antes da violação da CISA em 23 de janeiro, com atores de ameaças explorando-as rapidamente.

Uma vulnerabilidade, CVE-2024-21888 , foi divulgada em 22 de janeiro, um dia antes da violação do dispositivo Ivanti da CISA.

Enquanto a CISA afirma que todos os dados no aplicativo CSAT são criptografados com criptografia AES 256 e não há evidências de que os dados do CSAT foram roubados, eles decidiram notificar empresas e indivíduos por excesso de cautela.

"A CISA está notificando todos os participantes impactados no programa CFATS por excesso de cautela de que essas informações podem ter sido acessadas de forma inadequada", explica a notificação de violação de dados da CISA.

"Mesmo sem evidências de exfiltração de dados, o número de indivíduos e organizações potencialmente em risco atendeu ao limiar de um incidente importante sob o Ato de Modernização da Segurança da Informação Federal (FISMA)."

Os dados que potencialmente podem ter sido expostos incluem pesquisas Top-Screen, Avaliações de Vulnerabilidade de Segurança, Planos de Segurança do Local, submissões do Programa de Garantia de Pessoal e contas de usuários do CSAT.

Essas submissões contêm informações altamente sensíveis sobre a postura de segurança e o inventário químico das instalações que utilizam a ferramenta CSAT.

A CISA diz que as contas de usuários do CSAT continham as seguintes informações:

- Apelidos
- Local de Nascimento
- Cidadania
- Número do Passaporte
- Número de Reparação
- Número A
- Número de Identificação de Entrada Global
- Número de Identificação TWIC

Embora a CISA diga que não há evidências de que as credenciais foram roubadas, ela recomenda que todos os titulares de contas CSAT redefinam as senhas de qualquer uma de suas contas que tenham usado a mesma senha.

A CISA está enviando cartas de notificação diferentes, dependendo de você ser um indivíduo ou uma organização.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...