Chemiebetriebe warnen vor möglichem Datendiebstahl bei CISA-CSAT-Verstoß!
Amerik. Beamte sagten, Hacker seien im Februar durch Schwachstellen in Ivanti-Produkten in die Systeme der Cybersecurity and Infrastructure Security Agency (CISA) eingedrungen.
Ein CISA-Sprecher bestätigte gegenüber Recorded Future News, dass die Agentur vor etwa einem Monat „Aktivitäten identifiziert hat, die auf die Ausnutzung von Schwachstellen in Ivanti-Produkten hinweisen, die die Agentur verwendet“.
„Die Auswirkungen beschränkten sich auf zwei Systeme, die wir sofort offline nahmen. Wir aktualisieren und modernisieren unsere Systeme weiterhin und es gibt derzeit keine Auswirkungen auf den Betrieb“, sagte der Sprecher.
„Dies ist eine Erinnerung daran, dass jede Organisation von einer Cyber-Schwachstelle betroffen sein kann und dass die Einführung eines Plans zur Reaktion auf Vorfälle eine notwendige Komponente der Widerstandsfähigkeit ist.“
CISA lehnte es ab, eine Reihe von Fragen dazu zu beantworten, wer hinter dem Vorfall steckte, ob auf Daten zugegriffen oder diese gestohlen wurden und welche Systeme offline geschaltet wurden. Ivanti stellt Software her, mit der Unternehmen ihre IT verwalten, einschließlich Sicherheit und Systemzugriff.
Eine mit der Situation vertraute Quelle teilte Recorded Future News mit, dass es sich bei den beiden kompromittierten Systemen um das Infrastructure Protection (IP) Gateway handelte, das wichtige Informationen über die gegenseitige Abhängigkeit der US-Infrastruktur enthält, und das Chemical Security Assessment Tool (CSAT), das den privaten Sektor beherbergt Sicherheitspläne für Chemikalien. CISA lehnte es ab, zu bestätigen oder dementieren, ob es sich dabei um die Systeme handelt, die offline geschaltet wurden.
CSAT beherbergt einige der sensibelsten Industrieinformationen des Landes, darunter das Top Screen-Tool für Hochrisiko-Chemieanlagen, Standortsicherheitspläne und Sicherheitslückenbewertungen.
CSAT ist ein Online-Portal, über das Einrichtungen ihren Besitz von Chemikalien melden, die für den Terrorismus verwendet werden könnten, um festzustellen, ob sie als Einrichtung mit hohem Risiko gelten. Wenn sie als besonders risikoreich eingestuft werden, fordert das Tool sie auf, eine Bewertung der Sicherheitslücke (Security Vulnerability Assessment, SVA) und eine Umfrage zum Standortsicherheitsplan (Site Security Plan, SSP) hochzuladen, die vertrauliche Informationen über die Einrichtung enthält.
Laut CISA sollten Organisationen eine am 29. Februar veröffentlichte Empfehlung der Agentur prüfen, in der sie warnt, dass Bedrohungsakteure zuvor identifizierte Schwachstellen in den Gateways Ivanti Connect Secure und Ivanti Policy Secure ausnutzen, darunter CVE-2023-46805, CVE-2024-21887 und CVE-2024-21893.
Anfang März 2024 gaben mehrere der weltweit führenden Cybersicherheitsbehörden bekannt, dass Hacker einen Weg gefunden hatten, ein von Ivanti veröffentlichtes Tool zu umgehen, mit dem Organisationen überprüfen können, ob sie kompromittiert wurden.
CISA sagte: „Während mehrerer Einsätze zur Reaktion auf Vorfälle im Zusammenhang mit dieser Aktivität stellte CISA fest, dass die interne und frühere externe IKT von Ivanti keine Kompromittierung erkennen konnte.“ Darüber hinaus hat CISA unabhängige Untersuchungen in einer Laborumgebung durchgeführt und bestätigt, dass Ivanti ICT nicht ausreicht, um eine Kompromittierung zu erkennen, und dass ein Cyber-Bedrohungsakteur möglicherweise in der Lage ist, trotz Zurücksetzung auf die Werkseinstellungen eine Persistenz auf Root-Ebene zu erreichen.“
Hacker konnten Zugangsdaten auf Ivanti-Geräten stehlen und ihren Zugriff erweitern, bis hin zur vollständigen Kompromittierung der Domäne.
„Die Autorenorganisationen fordern alle Organisationen dringend dazu auf, bei der Entscheidung darüber, ob diese Geräte weiterhin in einer Unternehmensumgebung betrieben werden sollen, das erhebliche Risiko des Zugriffs und der Persistenz von Angreifern auf die Gateways Ivanti Connect Secure und Ivanti Policy Secure zu berücksichtigen“, sagten sie.
Die mobile Endpoint-Management-Software von Ivanti ist bei Regierungen auf der ganzen Welt beliebt und mehrere Schwachstellen in den Produkten des Unternehmens haben es Hackern ermöglicht, aus der Ferne auf die persönlich identifizierbaren Informationen der Opfer wie Namen, Telefonnummern und andere Details mobiler Geräte zuzugreifen. Ein Angreifer kann auch andere Konfigurationsänderungen vornehmen, einschließlich der Erstellung eines Administratorkontos, das weitere Änderungen an einem anfälligen System vornehmen kann, sagte CISA in einer Sicherheitswarnung . letztes Jahr
Seit 2020 warnt CISA Organisationen vor staatlich unterstützten Hackern – auch solchen mit Verbindungen zu China –, die Schwachstellen in Ivanti-Produkten ausnutzen.
mit der Ausnutzung einer neuen Schwachstelle in Ivanti-Produkten bei Angriffen auf die norwegische Regierung Unbekannte Hacker begannen im April 2023 , wodurch ein Dutzend staatlicher Ministerien gefährdet wurden.
CISA, Ivanti und mehrere Sicherheitsunternehmen, darunter Mandiant und Volexity, Alarm wegen zwei Schwachstellen geschlagen haben Anfang Januar , die angeblich von staatlich unterstützten chinesischen Spionage-Hackern ausgenutzt wurden. Die Nachricht von den Fehlern veranlasste Cyberkriminelle und andere dazu, ebenfalls zu versuchen, diese auszunutzen.
Beamte der Agentur hatten Reportern zuvor mitgeteilt , dass es „ungefähr 15 Agenturen gibt, die diese Produkte verwenden“, lehnten es jedoch ab, zu bestätigen, ob es sich dabei um Kompromisse handelte. Die Agenturen, die die Tools nutzen, decken „ein breites Spektrum … über die gesamte Breite der Bundesmission“ ab, sagte ein Beamter.
Es wurden zwei weitere Schwachstellen entdeckt, die dieselben Produkte betreffen. Eine davon wurde nachweislich bei Angriffen auf Ivanti-Kunden ausgenutzt – darunter Hunderte von Regierungsbehörden auf der ganzen Welt.
Die beiden neuen Schwachstellen veranlassten CISA, alle zivilen Bundesbehörden in den USA anzuweisen, die Produkte Ivanti Connect Secure und Policy Secure bis zum 2. Februar abzuschalten. CISA aktualisierte seine Empfehlung später am 9. Februar und teilte mit, dass Produkte nach dem Patchen wieder aktiviert werden könnten.