A CISA alertou as instalações químicas que o ambiente da sua Ferramenta de Avaliação de Segurança Química (CSAT) foi comprometido em janeiro. Em março, o Recorded Future News relatou pela primeira vez que a agência da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) foi hackeada em fevereiro.
CISA confirma que o ambiente CSAT foi comprometido
Em resposta à violação de segurança, a agência teve que desligar dois sistemas cruciais, conforme relatado por um porta-voz da CISA e autoridades dos EUA com conhecimento do incidente, segundo a CNN (Via: Security Affairs).
Um dos sistemas afetados pelo incidente é usado para facilitar o compartilhamento de ferramentas de avaliação de segurança física e cibernética entre autoridades federais, estaduais e locais. O segundo sistema continha informações relacionadas à avaliação de segurança de instalações químicas. A Recorded Future News, citando uma fonte com conhecimento da situação, informou que os sistemas hackeados foram o Gateway de Proteção de Infraestrutura (IP) e a Ferramenta de Avaliação de Segurança Química (CSAT).
O CSAT hospeda informações industriais confidenciais, incluindo a ferramenta Top Screen para instalações químicas de alto risco, Planos de Segurança do Local e Avaliações de Vulnerabilidade de Segurança. Um porta-voz da CISA disse ao Recorded Future News que a investigação inicial conduzida por especialistas do governo revelou que os invasores exploraram vulnerabilidades nos produtos Ivanti usados pela agência.
O impacto foi limitado a dois sistemas, que imediatamente colocamos offline. Continuamos a atualizar e modernizar nossos sistemas e não há impacto operacional neste momento.
Este é um lembrete de que qualquer organização pode ser afetada por uma vulnerabilidade cibernética e ter um plano de resposta a incidentes em vigor é um componente necessário de resiliência.
Outros alertas
Ironicamente, a CISA alertou as organizações dos EUA sobre ataques que exploram vulnerabilidades no software Ivanti. Em 1º de fevereiro, pela primeira vez desde a sua criação, a CISA ordenou que as agências federais desconectassem todas as instâncias dos produtos Ivanti Connect Secure e Ivanti Policy Secure dentro de 48 horas.
Em 29 de fevereiro, a CISA alertou novamente as organizações que os agentes de ameaças estão explorando múltiplas vulnerabilidades ( CVE-2023-46805 , CVE-2024-21887 e CVE-2024-21893 ) nos gateways Ivanti Connect Secure e Policy Secure.
A agência não forneceu detalhes sobre o ataque nem o atribuiu a um ator específico da ameaça.
Os especialistas não encontraram evidências de acesso dos invasores além do dispositivo Ivanti ou de exfiltração de dados do ambiente CSAT. Todas as informações CSAT foram criptografadas com criptografia AES 256, porém as chaves de criptografia eram inacessíveis aos invasores.