Kritik Altyapı Güvenliği, Olay ve İhlallere Müdahale, Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü
ABD Siber Savunma Ajansı, Savunmasız Ivanti Ürünlerinin Büyük Siber Saldırı Sonucunu Açıkladı
Chris Riotta (@chrisriotta) •
24 Haziran 2024
ABD siber savunma kurumu Pazartesi günü, özel sektör kimyasal güvenlik planlarını barındıran kritik araçlarından birinin, hassas verilere “potansiyel yetkisiz erişimle sonuçlanmış olabilecek” Ocak ayındaki bir siber saldırının hedefi olduğunu doğruladı.
Ayrıca bakınız: Sınırsız Bir Dünyada Beş BT Güvenliği Riski
Siber Güvenlik ve Altyapı Güvenliği Ajansı Perşembe günü, Kimyasal Tesis Terörle Mücadele Standartları programına katılanlara, kurumun Kimyasal Güvenlik Değerlendirme Aracını etkileyen siber güvenlik ihlali hakkında bildirimler gönderdiğini söyledi. Bildirimlerde ajansın “veri sızdırıldığına dair hiçbir kanıt bulunmadığı” belirtildi ancak bilgisayar korsanlarının “üst ekran anketlerine, güvenlik açığı değerlendirmelerine, site güvenlik planlarına, personel kefalet programı gönderimlerine ve CSAT kullanıcı hesaplarına” erişmiş olabileceği konusunda uyarıldı.
CFATS tarafından düzenlenen tesislerin, isimler, pasaport numaraları, doğum yeri ve vatandaşlık durumu dahil olmak üzere, inceleme amacıyla kişisel olarak tanımlanabilir bilgilerin gönderilmesini içeren tesis personeli güvenlik önlemlerine uyması gerekmektedir. CISA, olası “şifre püskürtme” saldırılarından kaçınmak için tesisleri CSAT hesabı olan kişilerin şifrelerini sıfırlamaya çağırdı.
Ajans ayrıca, bildirim mektuplarını alan tesisleri, olayla ilgili CFATS personel araştırma programı kapsamında güvenlik incelemesi için tesis tarafından gönderilen kişileri bilgilendirmeye teşvik etti.
Kurumun Mart ayında Information Security Media Group’a yaptığı açıklamaya göre, saldırı, Ivanti VPN cihazlarında bulunan ve bilgisayar korsanlarının CISA tarafından kullanılan iki ağ geçidini ihlal etmesine olanak tanıyan güvenlik açıklarının sonucuydu (bkz.: Hackerlar CISA Tarafından Kullanılan Ivanti Cihazlarını Ele Geçirdi). O dönemde etkilenen sistemlerin CSAT’ın yanı sıra önemli ulusal kritik altyapıya yönelik güvenlik değerlendirmeleri hakkında verileri içeren bir portal olan Altyapı Koruma Ağ Geçidi’ne de bağlı olduğu bildirilmişti.
O zamanki bir sözcü, “CISA, ajansın kullandığı Ivanti ürünlerindeki güvenlik açıklarından yararlanıldığını gösteren faaliyet tespit etti” dedi. “Sistemlerimizi yükseltmeye ve modernleştirmeye devam ediyoruz ve şu anda operasyonel bir etki söz konusu değil.”
CISA, paydaşların Ivanti güvenlik açığı bildirimlerinde sağlanan bilgileri incelemeleri için çok sayıda web seminerine ev sahipliği yapacağını duyurdu. Bir sonraki web seminerinin 9 Temmuz’da yapılması planlanıyor.
Ivanti cihazları, Aralık ayından itibaren, Ivanti ağ geçitlerinde saklanan hesap bilgilerini çalan Çinli ulus-devlet korsanları tarafından yapılan bir dizi saldırıyla karşı karşıya kaldı. CISA, federal kurumlara şirketin tüm cihazlarında fabrika ayarlarına sıfırlama yapmaları için 2 Şubat’a kadar süre verdi, ancak kurum daha sonra bilgisayar korsanlarının güvenliği ihlal edilmiş bir cihaza fabrika sıfırlamasından sonra bile erişimi koruyabilecekleri konusunda uyardı (bkz: Federaller, Ivanti Geçitlerini Sıfırlamak İçin Geceyarısı Son Tarihiyle Karşı Karşıya). Ivanti bu iddialara karşı çıktı.