Dalış Özeti:
- CISA Pazartesi günü yaptığı açıklamada, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın, Ocak ayında kurumun sistemlerini hedef alan bir saldırı sırasında kimyasal tesislerin verilerinin çalındığını göz ardı edemeyeceğini söyledi. bildiri. Ajans, 100.000’den fazla kişiyi temsil eden kuruluşlara olası maruz kalma durumunu bildirdi.
- Kimliği belirsiz bir tehdit aktörü 23-26 Ocak’ta CISA’nın Kimyasal Güvenlik Değerlendirme Aracına izinsiz girdi ve erişim sağladı, ancak kurum veri hırsızlığı veya yanal hareket olduğuna dair hiçbir kanıt bulamadığını söyledi.
- Bir kurum sözcüsü, “CISA’nın soruşturması veri sızdırıldığına dair hiçbir kanıt bulmasa da, bu ihlal üst ekrandaki anketlere, güvenlik açığı değerlendirmelerine, site güvenlik planlarına, personel garanti programı gönderimlerine ve CSAT kullanıcı hesaplarına potansiyel yetkisiz erişimle sonuçlanmış olabilir” dedi. e-posta yoluyla söyledi.
Dalış Bilgisi:
Saldırının bağlantılı olduğu Ivanti’de yaygın olarak kullanılan sıfır gün güvenlik açıkları Saldırı sırasında CISA’nın kullandığı uzaktan erişim VPN’leri. Saldırganlar güvenlik açıklarından yararlanmaya başladı. CVE-2023-46805 Ve CVE-2024-21887Aralık başında ve Ivanti bir güvenlik yaması yayınladı 31 Ocak’ta CVE’ler için.
CISA için düzeltme çok geç oldu. Teşkilatın tarama sistemleri 26 Ocak’ta kötü niyetli bir etkinlik tespit etti ve daha sonra yaptığı soruşturma sırasında CISA, 23 Ocak’ta CISA’nın istismar edilen CSAT Ivanti Connect Secure cihazına gelişmiş bir web kabuğunun yüklendiğini belirledi.
Pazartesi günü yapılan bildirimde CISA, “Bu tür web kabuğu, kötü amaçlı komutları yürütmek veya temeldeki sisteme dosya yazmak için kullanılabilir” dedi. “Analizimiz ayrıca kötü niyetli bir aktörün web kabuğuna iki günlük bir süre içinde birkaç kez eriştiğini tespit etti.”
Etkilenen Ivanti ürünlerini artık kullanmayan CISA, saldırganın web kabuğuna eriştiğinde hangi eylemleri gerçekleştirdiğini söylemeyi reddetti.
CISA direktör yardımcısı Kelly Murray Pazartesi günü olayla ilgili bir web semineri sırasında yaptığı açıklamada, ajansın istismar edilen Ivanti cihazı ile potansiyel olarak hassas veriler arasında birkaç savunma katmanı ve ayrım sağladığını ancak yetkisiz erişimin elde edildiğini göz ardı edemeyeceğini söyledi.
bildirimlerCISA’nın potansiyel olarak etkilenen tüm kuruluşlara gönderdiği ihlal, 2002 tarihli Federal Bilgi Güvenliği Yönetimi Yasası uyarınca en az 100.000 kişinin kişisel olarak tanımlanabilir bilgilerine yetkisiz erişim içeren büyük bir olayın eşiğini aştığı için gerekliydi.
Murray, “Veriler risk altında olduğunda ve erişim izni verildiğini göz ardı edemediğimizde, bu bildirimleri yapmamız gerekiyor” dedi.
CISA, Kongre’nin Kimyasal Tesis Terörle Mücadele Standartları programını yeniden yetkilendirmeyi reddetmesi üzerine Temmuz ayında endüstrinin CSAT sistemine erişimini engelledi. Ajans Ocak ayında izinsiz girişi fark ettiğinde sistem tamamen çevrimdışına alındı ve program yeniden yetkilendirilene kadar çevrimdışı kalacak.