CISA avertit que son environnement d’Outil d’évaluation de la sécurité chimique (CSAT) a été violé en janvier après que des pirates informatiques ont déployé un shell Web sur son appareil Ivanti, exposant potentiellement des évaluations et des plans de sécurité sensibles.

Le CSAT est un portail en ligne utilisé par les installations pour signaler leur possession de produits chimiques susceptibles d’être utilisés à des fins terroristes afin de déterminer si elles sont considérées comme une installation à haut risque. S’ils sont considérés à haut risque, l’outil les invitera à télécharger une évaluation des vulnérabilités de sécurité (SVA) et une enquête sur le plan de sécurité du site (SSP) contenant des informations sensibles sur l’installation.

En mars, The Record a signalé pour la première fois que CISA avait subi une violation après l’exploitation de l’appareil Ivanti de l’agence, l’obligeant à mettre hors ligne deux systèmes tout en enquêtant sur l’incident.

Bien que la CISA ne partage pas les détails de l’incident, les sources du Dossier ont déclaré qu’il s’agissait de la Passerelle de protection de l’infrastructure (IP) et de l’Outil d’évaluation de la sécurité chimique (CSAT).

CISA confirme la violation
CISA a maintenant confirmé que l’appliance sécurisée CSAT Ivanti Connect avait été piratée le 23 janvier 2024, permettant à un auteur de menace de télécharger un shell Web sur l’appareil.

L’auteur de la menace a ensuite accédé à ce shell Web plusieurs fois sur deux jours.

Une fois que CISA a découvert la violation, ils ont mis l’appareil hors ligne pour enquêter sur les mesures prises par l’auteur de la menace et sur les données potentiellement exposées.

CISA n’a pas partagé les vulnérabilités exploitées, se référant plutôt à un document CISA sur les acteurs de la menace exploitant plusieurs vulnérabilités sur les périphériques Ivanti Connect Secure et Policy Secure Gateway.

Ce document fait référence à trois vulnérabilités identifiées comme CVE-2023-46805, CVE-2024-21887 et CVE-2024-21893, toutes divulguées avant la violation de la CISA le 23 janvier, les acteurs de la menace les exploitant rapidement. Une vulnérabilité, CVE-2024-21888, a été divulguée le 22 janvier, un jour avant la violation de l’appareil Ivanti de CISA.

Alors que CISA indique que toutes les données de l’application CSAT sont cryptées avec le cryptage AES 256 et qu’il n’y a aucune preuve que les données CSAT ont été volées, ils ont décidé d’informer les entreprises et les particuliers avec beaucoup de prudence.

« CISA informe tous les participants concernés du programme CFATS par excès de prudence que ces informations auraient pu être consultées de manière inappropriée », explique la notification de violation de données CISA.

« Même sans preuve d’exfiltration de données, le nombre d’individus et d’organisations potentiels dont les données étaient potentiellement à risque atteignait le seuil d’un incident majeur en vertu de la Loi fédérale sur la modernisation de la sécurité de l’information (FISMA). »

Les données qui auraient potentiellement pu être exposées comprennent des enquêtes sur écran supérieur, des Évaluations des vulnérabilités de sécurité, des Plans de sécurité du Site, des soumissions de Programmes de cautionnement du personnel et des comptes d’utilisateurs CSAT.

Ces soumissions contiennent des informations hautement sensibles sur la posture de sécurité et l’inventaire chimique des installations utilisant l’outil CSAT.

CISA indique que les comptes d’utilisateurs CSAT contenaient les informations suivantes.

  • Alias
  • Lieu de Naissance
  • Citoyenneté
  • Numéro de Passeport
  • Numéro de Recours
  • Un Numéro
  • Numéro D’IDENTIFICATION d’Entrée Globale
  • DEUX FOIS le Numéro D’IDENTIFICATION

Bien que la CISA affirme qu’il n’y a aucune preuve de vol d’informations d’identification, elle recommande à tous les titulaires de compte CSAT de réinitialiser les mots de passe de l’un de leurs comptes utilisant le même mot de passe.

CISA envoie différentes lettres de notification selon que vous êtes un particulier ou une organisation.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *