شهریور ۲۶, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat

هشدار تسهیلات شیمیایی درباره احتمال دزدیده شدن داده‌ها در نفوذ CSAT CISA

CISA هشدار می‌دهد که در ژانویه محیط CSAT آن‌ها توسط هکرها با استفاده از یک وب‌شل روی دستگاه Ivanti دچار رخنه شده است و این امر ممکن است به فاش شدن ارزیابی‌ها و برنامه‌های امنیتی حساس منجر شود.

CSAT یک پورتال آنلاین است که به تأسیسات کمک می‌کند تا گزارش دهند که آیا مواد شیمیایی پرخطری دارند که می‌تواند برای تروریسم استفاده شود. اگر تأسیسات پرخطر تشخیص داده شوند، باید یک ارزیابی آسیب‌پذیری امنیتی (SVA) و یک پرسشنامه طرح امنیتی سایت (SSP) که حاوی اطلاعات حساس درباره تأسیسات است را بارگذاری کنند.

در ماه مارس، The Record گزارش داد که CISA به دلیل بهره‌برداری از دستگاه Ivanti آن، دچار یک رخنه شده و مجبور شده است دو سیستم را آفلاین کند تا بتواند این حادثه را بررسی کند.

در حالی که CISA جزئیاتی درباره این حادثه به اشتراک نگذاشت، منابع The Record گفتند که این حادثه مربوط به درگاه حفاظت از زیرساخت‌ها (IP Gateway) و ابزار ارزیابی امنیت شیمیایی (CSAT) بوده است.

تایید نقض داده توسط CISA

CISA تأیید کرده است که دستگاه Ivanti Connect Secure مورد استفاده در CSAT در تاریخ ۲۳ ژانویه ۲۰۲۴ دچار نفوذ شده و یک مهاجم توانسته است یک وب‌شل را به این دستگاه بارگذاری کند.

همچنین مهاجم طی دو روز چندین بار از وب‌شل استفاده کرده است.

پس از کشف نفوذ، CISA دستگاه را از شبکه جدا کرد تا بررسی کند که مهاجم چه اقداماتی انجام داده و چه اطلاعاتی ممکن است فاش شده باشد.

CISA جزئیات اینکه چه ضعف‌هایی در این حمله بهره‌برداری شده است را به اشتراک نگذاشته است، به جای آن به یک سند CISA که درباره عاملان تهدیدی که از ضعف‌های مختلف در دستگاه‌های Ivanti Connect Secure و Policy Secure Gateway بهره‌برداری می‌کنند، ارجاع داده است.

این سند به سه ضعف امنیتی ارجاع می‌دهد که با شناسه‌های CVE-2023-46805، CVE-2024-21887  و CVE-2024-21893 شناخته می‌شوند، همه آنها قبل از رخنه CISA در تاریخ ۲۳ ژانویه افشا شده بودند و عاملان تهدید به سرعت از آنها بهره‌برداری کردند. یک ضعف امنیتی دیگر با شناسه CVE-2024-21888، در تاریخ ۲۲ ژانویه افشا شد، یک روز قبل از اینکه دستگاه Ivanti CISA دچار رخنه شود.

CISA اظهار می‌کند که داده‌های برنامه CSAT با استفاده از رمزنگاری AES 256 رمزگذاری شده‌اند و هیچ دلیلی برای فرضیه دزدیده شدن داده‌های CSAT وجود ندارد، اما به دلیل احتیاط بیش از حد، تصمیم به اطلاع‌رسانی به شرکت‌ها و افراد گرفته‌اند.

CISA در اطلاعیه خود درباره نقض امنیتی اظهار می‌کند که به دلیل توجه بیش از حد به احتمال دسترسی نامناسب به اطلاعات، در حال اطلاع‌رسانی به تمام شرکت‌کنندگان در برنامه CFATS هستند.

حتی اگر شواهدی از خروج داده وجود نداشته باشد، تعداد افراد و سازمان‌هایی که احتمال دارد داده‌های آنها در معرض خطر قرار گیرد، به اندازه‌ای بود که به شرایط یک حادثه اصلی تحت قانون به‌روزرسانی امنیت اطلاعات فدرال (FISMA) برسد.

داده‌هایی که احتمالاً ممکن است فاش شوند شامل نظرسنجی‌های Top-Screen، ارزیابی‌های آسیب‌پذیری امنیتی، طرح‌های امنیتی محل، ارسال‌های برنامه اطمینان از افراد و حساب‌های کاربری CSAT است.

این ارسال‌ها حاوی اطلاعات بسیار حساس درباره وضعیت امنیتی و موجودی شیمیایی اماکنی هستند که از ابزار CSAT برای گزارش دادن استفاده می‌کنند.

CISA اعلام می‌کند که حساب‌های کاربری CSAT دارای اطلاعات زیر بوده‌اند، اما جزئیات دقیق‌تر این اطلاعات در جمله ذکر نشده است.

نام مستعار

محل تولد

تابعیت

شماره پاسپورت

شماره شناسایی Global Entry

شماره شناسایی TWIC

CISA اعلام می‌کند که هرچند شواهدی از دزدیده شدن اطلاعات احراز هویت وجود ندارد، اما توصیه می‌دهد که تمام دارندگان حساب‌های CSAT رمز عبور حساب‌های خود را که از همان رمز عبور استفاده کرده‌اند، تغییر دهند.

CISA بسته به وضعیت شما به عنوان یک فرد حقیقی یا یک سازمان، نامه‌های اطلاع‌رسانی مختلفی را ارسال می‌کند.

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب