CISA red flare

CISAは、同社の化学物質セキュリティ評価ツール(CSAT)環境が1月にハッカーによってIvantiデバイス上にウェブシェルを展開され、機密のセキュリティ評価と計画が暴露された可能性があるとして警告している。

CSATは、施設がテロに使用される可能性のある化学物質の保有を報告し、高リスク施設とみなされるかどうかを判断するために使用されるオンラインポータルである。高リスク施設と見なされた場合、このツールは施設の機密情報を含むセキュリティ脆弱性評価(SVA)とサイトセキュリティ計画(SSP)調査のアップロードを促す。

3月、The Recordは、CISAがIvantiデバイスを悪用され情報漏洩に見舞われ、調査中に2つのシステムをオフラインにしたことを初めて報じた

CISAはインシデントの詳細を明らかにしなかったが、The Recordの情報筋によると、インフラ保護(IP)ゲートウェイと化学物質セキュリティ評価ツール(CSAT)であった。

CISAが情報漏洩を確認

CISAは現在、CSAT Ivanti Connect Secureアプライアンスが2024年1月23日に侵害され、脅威行為者がデバイスにウェブシェルをアップロードしたことを確認している。

脅威者はその後、2日間に渡ってこのウェブシェルに数回アクセスした。

CISAは侵入を発見すると、脅威行為者が行った行為と、どのようなデータが流出した可能性があるかを調査するため、デバイスをオフラインにした。

CISAは、どのような脆弱性が悪用されたかを共有しておらず、代わりに脅威行為者がIvanti Connect SecureおよびPolicy Secure Gatewayデバイスの複数の脆弱性を悪用したことに関するCISAの文書を参照しています。

この文書では、CVE-2023-46805CVE-2024-21887、およびCVE-2024-21893として追跡されている3つの脆弱性について言及しており、これらはすべて1月23日のCISAの情報漏えいの前に公開され、脅威行為者はすぐにこれらを悪用した。脆弱性の1つであるCVE-2024-21888は、CISAのIvantiデバイスが侵害される1日前の1月22日に公開された。

CISAは、CSATアプリケーションのデータはすべてAES 256暗号化で暗号化されており、CSATデータが盗まれた証拠はないとしながらも、慎重を期して企業と個人に通知することを決定した。

「CISAは、この情報が不適切にアクセスされた可能性があることに十分注意して、CFATSプログラムの影響を受けるすべての参加者に通知しています」とCISAのデータ流出通知は説明している。

「データ流出の証拠がなくとも、データが危険にさらされる可能性のある個人および組織の数は、連邦情報セキュリティ近代化法(FISMA)に基づく重大インシデントの閾値を満たしていた。

流出した可能性のあるデータには、トップスクリーン調査、セキュリティ脆弱性評価、サイトセキュリティ計画、人事保証プログラム提出書類、CSATユーザーアカウントが含まれる。

これらの提出書類には、CSATツールを使用している施設のセキュリティ態勢と化学物質在庫に関する非常に機密性の高い情報が含まれている。

CISAによると、CSATのユーザーアカウントには以下の情報が含まれていた。

  • エイリアス
  • 出生地
  • 市民権
  • パスポート番号
  • リドレス番号
  • A番号
  • グローバルエントリーID番号
  • TWIC ID番号

CISAは、クレデンシャルが盗まれた証拠はないとしているが、すべてのCSATアカウント保有者に対し、同じパスワードを使用しているアカウントのパスワードをリセットすることを推奨している。

CISAは、個人か 組織かによって異なる通知書を送付している。