Bilinmeyen bir tehdit aktörü, bu yılın başlarında ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) Kimyasal Güvenlik Değerlendirme Aracı’nı (CSAT) tehlikeye atarak ABD kimyasal tesislerine ilişkin kritik bilgilere erişmiş olabilir.
Saldırganın erişmiş olabileceği veriler, farklı tesislerde depolanan kimyasalların türlerini ve miktarlarını, tesise özel güvenlik açığı değerlendirmelerini, saha güvenlik planlarını ve yüksek riskli tesislerdeki kısıtlı alanlara erişim isteyebilecek kişilerin personel kimlik bilgilerini içerir.
Terörle Mücadeleyle İlgili Veriler
CISA, ABD’deki yüksek riskli kimyasal tesislerin güvenliğini artırmak için İç Güvenlik Bakanlığı’nın Kimyasal Tesis Terörle Mücadele Standartları (CFATS) programının bir parçası olarak ülke çapındaki kimyasal tesislerin bu bilgileri sağlamasını gerekli kıldı. CFATS’ın süresi Temmuz 2023’te sona erdi.
CISA’ya göre bir tehdit aktörü, CSAT uygulamasındaki verilere zincirleme işlem sonrasında erişmiş olabilir Ivanti birkaç sıfır gün güvenlik açığını açıkladı bu yılın başlarında Connect Secure cihazında. İçinde bildirim mektubu DHS direktör yardımcısı Kelly Murray, paydaşlara, izinsiz girişin 23 Ocak ile 26 Ocak 2024 arasındaki iki günlük bir dönemde gerçekleştiğini söyledi.
Murray, Ivanti cihazına erişim sağladıktan sonra tehdit aktörünün, uzaktan komut yürütmeyi ve temel sisteme rastgele dosya yazmayı mümkün kılan bir web kabuğu yerleştirdiğini söyledi. Saldırganın iki günlük süre boyunca web kabuğuna birkaç kez eriştiğini ancak Ivanti cihazının ötesinde herhangi bir veri sızıntısı veya yanal hareket olduğuna dair bir kanıt bulunmadığını söyledi.
Murray, “CISA’nın soruşturmasında verilerin sızdırıldığına dair hiçbir kanıt bulunmamasına rağmen, bu durum Üst Ekran anketlerine, Güvenlik Açığı Değerlendirmelerine, Site Güvenlik Planlarına, Personel Kefalet Programı gönderimlerine ve CSAT kullanıcı hesaplarına yetkisiz erişimle sonuçlanmış olabilir” dedi. “CSAT’taki tüm bilgiler AES 256 şifrelemesi kullanılarak şifrelendi ve her uygulamadan gelen bilgiler, yan erişim olasılığını sınırlayan ek güvenlik kontrollerine sahipti” dedi.
Potansiyel Güvenlik Etkileri
Skybox Security’nin teknik direktörü Howard Goodman, CSAT aracının doğası ve içerdiği hassas veriler göz önüne alındığında, ihlalin potansiyel güvenlik etkilerine sahip olduğunu söylüyor. Goodman, “Kimyasal envanterlerin ve güvenlik planlarının açığa çıkması, potansiyel olarak kötü niyetli aktörler tarafından tesisleri hedef almak için kullanılabilir, bu da kamu güvenliği ve çevre için risk oluşturabilir” diyor.
Etkilenen kuruluşlar mevcut siber güvenlik önlemlerini kapsamlı bir şekilde incelemeli ve gerekirse bunları güncellemelidir. Ayrıca, özellikle CSAT sunumlarında belirlenen alanlarda fiziksel ve siber güvenlik önlemlerini geliştirmeyi de düşünmelidirler. Goodman ayrıca “hedefli saldırılara işaret edebilecek şüpheli etkinlikleri tespit etmek için izleme ve tehdit tespit yeteneklerini artırmaları” gerektiğini söylüyor. “Potansiyel tehditler ve en iyi uygulamalar hakkında bilgi sahibi olmak için sektördeki meslektaşlarımızla ve ilgili devlet kurumlarıyla bilgi paylaşımında bulunun.”
Ivanti Sıfır Günler
DHS ihlali bildirimi, tehdit aktörünün CSAT uygulamasına erişim sağlamak için kullandığı belirli Ivanti güvenlik açığını veya güvenlik açıklarını tanımlamadı. Ancak paydaşları bir noktaya yönlendirdi. 29 Şubat 2024 tarihli CISA tavsiyesiIvanti Connect ve Policy Secure Gateway’lerdeki üç güvenlik açığını hedef alan istismar faaliyetleri konusunda uyarıda bulunan: CVE-2023-46805, CVE-2024-21887Ve CVE-2024-21893. Kusurlar, Ivanti Connect Secure ve Ivanti Policy Secure ağ geçitlerinin desteklenen tüm sürümlerini etkiliyor. Saldırganlar, kimlik doğrulama mekanizmalarını atlamak, kötü amaçlı istekler oluşturmak ve etkilenen sistemlerde yönetici düzeyindeki ayrıcalıklarla rastgele komutlar yürütmek için güvenlik açıklarından zincirleme bir şekilde yararlanabilir.
Kusurlar arasındaydı Ivanti’nin bu yılın başlarında açıkladığı bazı kritik güvenlik açıkları bir teşvik güvenlik uygulamalarının tamamen elden geçirilmesi.
KnowBe4’ün veri odaklı savunma savunucusu Roger Grimes, e-postayla gönderdiği bir yorumda, CISA’nın, tehdit aktörlerinin CSAT uygulamasına erişim sağlamak için kullandıkları belirli güvenlik açıklarını veya ajansın bu kusuru düzeltip düzeltmediğini belirlememe kararından duyduğu memnuniyeti dile getirdi. “Eğer bir yamanın mevcut olduğu bilinen bir güvenlik açığından yararlanıldıysa, ki bu daha olasıdır, yama neden yüklenmedi?” dedi Grimes. “Bunun nedeni, istismarın yamanın uygulanabileceğinden daha hızlı gerçekleşmesi miydi? [or] yama kaçırıldı mı?”
CISA’nın kendisi, etkilenen tüm kimyasal tesislerin mevcut siber güvenlik ve fiziksel güvenlik duruşlarını sürdürmelerini ve normalde olduğu gibi güvenlik açıklarını gidermelerini tavsiye etti. CISA, “Soruşturmada kimlik bilgilerinin çalındığına dair bir kanıt bulunmamasına rağmen,” diye ekledi, “CISA, CSAT hesabı olan bireyleri, aynı şifreyi kullanan herhangi bir ticari veya kişisel hesabın şifrelerini sıfırlamaya teşvik ediyor.”