CISA atacada por piratas informáticos y sus principales sistemas desconectados


La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), responsable de la ciberseguridad y la protección de la infraestructura en todos los niveles del gobierno de Estados Unidos, fue pirateada.

“Hace aproximadamente un mes, CISA identificó una actividad que explotaba vulnerabilidades en los productos Ivanti utilizados por la agencia”, dijo un portavoz de CISA en un comunicado.

CISA emitió una advertencia a finales de febrero de que los actores de amenazas cibernéticas estaban explotando vulnerabilidades previamente identificadas en las puertas de enlace Ivanti Connect Secure e Ivanti Policy Secure. Ivanti Connect Secure es una VPN SSL ampliamente implementada e Ivanti Policy Secure (IPS) es una solución de control de acceso a la red (NAC).

La propia CISA es actualmente víctima de un ciberataque relacionado con los productos Ivanti.

CISA desconecta el sistema

Aparentemente, el ataque comprometió dos sistemas CISA y rápidamente los dejó fuera de línea. Al momento de escribir este artículo, no se ha informado ningún impacto operativo.

Los informes iniciales sobre la violación de datos dijeron que fuentes anónimas dijeron que los sistemas comprometidos estaban vinculados a puertas de enlace de protección de infraestructura (IP) que almacenan información crítica sobre las interdependencias de la infraestructura de EE. UU., así como los planes de seguridad química del sector privado (CSAT). es una herramienta de evaluación de la seguridad química (CSAT).

CSAT es un portal en línea que contiene información altamente confidencial que determina qué instalaciones se consideran de alto riesgo según los Estándares antiterroristas para instalaciones químicas (CFATS).

CISA no confirmó ni negó qué sistemas se desconectaron.

Vulnerabilidades actuales de Ivanti

Además de la advertencia de febrero sobre el producto Ivanti, CISA emitió una directiva a finales de enero para todas las agencias federales que utilizan el producto. La directiva establece que las agencias deben desconectar los dispositivos VPN de Ivanti y restablecerlos a la configuración de fábrica antes de volver a conectarlos a la red.

Aparecerá orientación adicional para las instituciones en riesgo que incluye la búsqueda continua de amenazas, el monitoreo de los servicios de autenticación y administración de identidad, el aislamiento de sistemas potencialmente infectados y la auditoría continua de las cuentas de acceso de nivel privilegiado.

En agosto de 2023, una alerta de CISA anunció que una vulnerabilidad descubierta en Ivanti Endpoint Manager Mobile permite el acceso no autenticado a determinadas rutas API. Esto permite a los atacantes acceder a información de identificación personal (PII), como nombres de usuarios, números de teléfono y otros detalles de dispositivos móviles en sistemas vulnerables. Los piratas informáticos también pueden realizar otros cambios de configuración, como instalar software en dispositivos registrados o cambiar perfiles de seguridad.

Se desconocen los autores del ataque de CISA

Aunque el reciente incidente de CISA no se ha atribuido a ningún grupo o nación en particular, ya han surgido informes de que piratas informáticos sospechosos de trabajar para el gobierno chino explotaron vulnerabilidades en los productos Ivanti.

Según las empresas de seguridad Volexity y Mandiant, sus hallazgos sugieren que los perpetradores que infectaron los dispositivos estaban motivados por espionaje. Volexity ha descubierto dos vulnerabilidades explotadas en la naturaleza que permiten la ejecución remota de código no autenticado en dispositivos Ivanti Connect Secure VPN. Los investigadores de Volexity también informan que se sospecha que el actor de amenazas rastreado como UTA0178 es un “actor de amenazas a nivel estatal chino”.

Mandiant, que rastrea al grupo de ataque como UNC5221, cree que el actor de amenazas está llevando a cabo una “campaña APT de espionaje”. Los investigadores de Mandiant compartieron detalles de cinco familias de malware asociadas con la explotación de dispositivos Ivanti. Este malware permite a los piratas informáticos eludir la autenticación y proporcionar acceso de puerta trasera a estos dispositivos.

Vuelva a poner en línea su producto Ivanti

Ivanti ha publicado un artículo oficial de base de conocimientos y asesoramiento de seguridad con medidas de mitigación que se deben aplicar de inmediato. Sin embargo, la mitigación no resuelve compromisos pasados ​​o actuales. Por lo tanto, los equipos de seguridad deben analizar minuciosamente sus sistemas y estar atentos a signos de compromiso.

Mientras tanto, un portavoz de CISA dijo que la agencia continúa “actualizando y modernizando sus sistemas”. En resumen, este es un resumen de lo que todas las organizaciones deberían hacer en respuesta a noticias de ataques en curso.

Consulte la información más reciente sobre amenazas

Si experimenta un problema o incidente de ciberseguridad, comuníquese con X-Force para obtener ayuda: Línea directa de EE. UU. 1-888-241-9812 | Línea directa global (+001) 312-212-8034.

escritor independiente de tecnología

sigue leyendo



Fuente: https://securityintelligence.com/news/cisa-hackers-key-systems-offline/