CISA, Ocak ayında hackerların Ivanti cihazına bir web kabuğu yerleştirmesinin ardından Kimyasal Güvenlik Değerlendirme Aracı (CSAT) ortamının ihlal edildiği ve potansiyel olarak hassas güvenlik değerlendirmelerini ve planlarını açığa çıkardığı konusunda uyarıyor.
CSAT, tesislerin yüksek riskli bir tesis olarak kabul edilip edilmediklerini belirlemek amacıyla terörizm için kullanılabilecek kimyasallara sahip olduklarını bildirmek için kullanılan çevrimiçi bir portaldır. Yüksek riskli olarak kabul edilirlerse araç, onlardan tesis hakkında hassas bilgiler içeren bir güvenlik açığı değerlendirmesi (SVA) ve site güvenlik planı (SSP) anketi yüklemelerini isteyecektir.
Mart ayında The Record, ilk olarak CISA’nın, ajansın Ivanti cihazının kötüye kullanılmasının ardından bir ihlal yaşadığını ve bunun olayı araştırırken iki sistemi çevrimdışına almasına neden olduğunu bildirdi.
CISA olayla ilgili ayrıntıları paylaşmasa da The Record’un kaynakları olayın Altyapı Koruma (IP) Ağ Geçidi ve Kimyasal Güvenlik Değerlendirme Aracı (CSAT) olduğunu söyledi.
CISA ihlali doğruladı
CISA, CSAT Ivanti Connect Secure cihazının 23 Ocak 2024’te ihlal edildiğini ve bir tehdit aktörünün cihaza bir web kabuğu yüklemesine izin verdiğini doğruladı.
Tehdit aktörü daha sonra bu web kabuğuna iki gün içinde birkaç kez erişti.
CISA ihlali keşfettikten sonra, tehdit aktörünün gerçekleştirdiği eylemleri ve hangi verilerin potansiyel olarak açığa çıktığını araştırmak için cihazı çevrimdışına aldı.
CISA, hangi güvenlik açıklarından yararlanıldığını paylaşmadı; bunun yerine, Ivanti Connect Secure ve Policy Secure Gateway cihazlarındaki birden fazla güvenlik açığından yararlanan tehdit aktörlerine ilişkin bir CISA belgesine atıfta bulundu.
Bu belge, CVE-2023-46805, CVE-2024-21887 ve CVE-2024-21893 olarak takip edilen üç güvenlik açığına atıfta bulunuyor; bunların tümü CISA’nın 23 Ocak’taki ihlalinden önce ifşa edilmiş ve tehdit aktörleri bunları hızla istismar ediyor. CVE-2024-21888 adlı güvenlik açığı, CISA’nın Ivanti cihazının ihlal edilmesinden bir gün önce, 22 Ocak’ta açıklandı.
CISA, CSAT uygulamasındaki tüm verilerin AES 256 şifrelemesi ile şifrelendiğini ve CSAT verilerinin çalındığına dair herhangi bir kanıt bulunmadığını söylerken, şirketleri ve bireyleri çok dikkatli bir şekilde bilgilendirmeye karar verdiler.
CISA veri ihlali bildirimi, “CISA, CFATS programından etkilenen tüm katılımcıları, bu bilgilere uygunsuz bir şekilde erişilmiş olabileceği konusunda çok dikkatli bir şekilde bilgilendirmektedir” diye açıklıyor.
“Veri hırsızlığına dair kanıt olmasa bile, verileri potansiyel olarak risk altında olan potansiyel kişi ve kuruluşların sayısı, Federal Bilgi Güvenliği Modernizasyon Yasası (FISMA) kapsamında büyük bir olayın eşiğini aştı.”
Açığa çıkması muhtemel veriler arasında Üst Ekran anketleri, Güvenlik Açığı Değerlendirmeleri, Site Güvenlik Planları, Personel Kefalet Programı gönderimleri ve CSAT kullanıcı hesapları yer alıyor.
Bu gönderimler, CSAT aracını kullanan tesislerin güvenlik durumu ve kimyasal envanteri hakkında son derece hassas bilgiler içermektedir.
CISA, CSAT kullanıcı hesaplarının aşağıdaki bilgileri içerdiğini söylüyor.
- Takma adlar
- Doğum yeri
- Vatandaşlık
- Pasaport numarası
- Tazminat numarası
- Bir sayı
- Küresel Giriş Kimlik Numarası
- TWIC Kimlik Numarası
CISA, kimlik bilgilerinin çalındığına dair bir kanıt olmadığını söylese de, tüm CSAT hesap sahiplerinin aynı şifreyi kullanan hesaplarının şifrelerini sıfırlamasını tavsiye ediyor.
CISA, birey veya kuruluş olmanıza bağlı olarak farklı bildirim mektupları göndermektedir.