La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) reveló que su herramienta de evaluación de seguridad química (CSAT) fue violada por un actor malicioso y advirtió a las instalaciones químicas que es posible que se hayan filtrado datos confidenciales. Los atacantes explotaron una vulnerabilidad de día cero en un dispositivo Ivanti Connect Secure para infiltrarse en CSAT del 23 al 26 de enero de 2024. El incidente se produjo poco después de que Ivanti informara sobre la explotación activa de vulnerabilidades en sus productos Ivanti Connect Secure e Ivanti Policy Secure, incluso por parte de chinos. actores estatales. En una carta de notificación fechada el 20 de junio de 2024, CISA notificó a los participantes en el programa de Estándares Antiterroristas para Instalaciones Químicas (CFATS) sobre la intrusión y la información potencialmente afectada. CFATS es un programa que identifica y regula las instalaciones químicas de alto riesgo para garantizar que se implementen medidas de seguridad para reducir el riesgo de que ciertos químicos peligrosos se conviertan en armas. Cualquier instalación que fabrique, utilice, almacene o distribuya sustancias químicas de interés (COI) en cantidades y/o concentraciones umbrales de detección (STQ) o superiores debe informar esas existencias a CISA a través del CSAT. Si bien actualmente no hay evidencia de exfiltración de estos datos, CISA ha informado a las personas que enviaron su información de identificación personal (PII) al programa para su investigación o que tenían una cuenta de usuario autorizado de información de vulnerabilidad contra el terrorismo químico (CVI), que su información puede han sido accedidos de manera inapropiada. Esto incluye PII del personal de las instalaciones y visitantes no acompañados que tenían o buscaban acceso a áreas restringidas y activos críticos en instalaciones químicas de alto riesgo. La PII de estas personas debe presentarse a través de CSAT para fines de investigación. La información PII potencialmente exfiltrada por los atacantes incluye: Nombre/alias Lugar de nacimiento Ciudadanía Número de reparación ID de entrada global La información de la cuenta potencialmente exfiltrada por los atacantes son nombres de empresas, títulos, direcciones y números de teléfono. Cómo los atacantes se infiltraron en CSAT CISA dijo que identificó actividad potencialmente maliciosa que afectó al dispositivo CSAT Ivanti Connect Secure el 26 de enero, desconectando inmediatamente el sistema y aislándolo. Luego se inició una investigación forense en la que participaron expertos técnicos de la Oficina del Director de Información de CISA, el equipo de Caza de Amenazas de la División de Ciberseguridad y el Centro de Operaciones de Red (NOC) del Departamento de Seguridad Nacional (DHS). Lea aquí: La directiva de emergencia de CISA exige acción en Ivanti Zero-Days La investigación reveló que un actor malicioso instaló un webshell avanzado en el dispositivo Ivanti. Este webshell era capaz de ejecutar comandos maliciosos o escribir archivos en el sistema subyacente. La agencia descubrió que el actor de amenazas accedió al webshell varias veces durante un período de dos días. No se identificó ninguna exfiltración de datos de CSAT ni acceso de adversarios más allá del dispositivo Ivanti. CISA agregó que todos los datos almacenados en CSAT estaban encriptados y la información de cada aplicación tenía controles de seguridad adicionales que limitaban la probabilidad de acceso lateral. Además, las claves de cifrado se ocultaron del tipo de acceso que tenía el actor de la amenaza al sistema. Si bien no se ha encontrado evidencia de robo de credenciales, CISA recomienda que cualquier persona que tuviera cuentas CSAT restablezca sus contraseñas para protegerse contra ataques de fuerza bruta.