Yetkililere göre, tehdit aktörleri Şubat ayında Ivanti ürününün güvenlik açıklarını kullanarak Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) sistemlerini ihlal etmişti.
Bir CISA sözcüsü, şüpheli faaliyetin ilk kez bir ay önce çevrimdışına alınan iki sistemde tespit edildiğini, ancak olayın arkasında kimin olduğunu ve herhangi bir veriye erişilip erişilmediğini veya herhangi bir verinin çalınıp çalınmadığının belirsiz olduğunu belirtti.
iki sistem çevrimdışına alındı Altyapı Koruma Ağ Geçidi ve Kimyasal Güvenlik Değerlendirme Aracı (CSAT) olduğu bildirildi, ancak CISA bunu doğrulamadı.
CISA, kuruluşların şubat ayının sonlarında yayımladığı üç konuyla ilgili tavsiye niteliğindeki tavsiye belgesini gözden geçirmesini tavsiye ediyor Ivanti'deki güvenlik açıklarıCVE-2023-46805, CVE-2024-21887 olarak tanımlandı ve CVE-2024-21893. Bunlar işin bir parçası Ivanti Connect Güvenli ve Ivanti Policy Secure ağ geçitleri.
Buna ek olarak CISA, kendi vakasında Ivanti ICT'nin olay müdahale görevlerinde uzlaşmayı tespit edemediğini bildirdi. Bilgisayar korsanları, bu Ivanti cihazlarındaki kimlik bilgilerini çalabildi ve hatta bazı durumlarda tüm alan adı ele geçirmesine bile erişebildi. Önde gelen birçok siber güvenlik kurumu, kurumsal ortamda oluşturdukları riskler nedeniyle tüm kuruluşları bu ağ geçidi araçlarına karşı dikkatli olmaya çağırıyor.
CISA, şu anda operasyonel bir etkinin olmadığını ancak “bunun, herhangi bir kuruluşun siber güvenlik açığından etkilenebileceğini ve bir olay müdahale planına sahip olmanın dayanıklılığın gerekli bir bileşeni olduğunu hatırlattığını” bildirdi.