聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
美国网络安全和基础设施安全局 (CISA) 披露称其化学安全评估工具 (CSAT) 遭恶意攻陷,并提醒称化工厂的敏感数据或被提取。
攻击者利用 Ivanti Connect Secure 设备中的一个0day漏洞,在2024年1月23至26日期间渗透CSAT。该事件发生前不久,Ivanti Connect Secure 和 Ivanti Policy Secure 产品中的多个漏洞被指遭活跃利用。
CISA 在2024年6月20日在通知函中将此事件及其潜在受影响信息通知给化学工厂反恐怖主义标准 (CFATS) 计划中的参与者。CFATS是一项旨在识别并规范高风险化学工厂部署安全措施,降低某些危险化学品被武器化风险的计划。任何生产、使用、存储或分发相关化学品 (COI) 的工厂,如处于或高于筛选门槛量 (STQ) 和/或浓度,则需要通过CSAT工具将这些数量告知CISA。
虽然目前尚未有数据遭提取的证据,CISA 已通知向该计划提交个人可识别信息用于审查或拥有化学品-恐怖主义漏洞信息 (CVI) 授权用户账户的个体,称他们的信息可能遭不当访问。这些信息包括工厂员工和无授权人员陪同访客的个人信息,他们曾寻求访问高风险化学工厂的受限区域和关键资产。这些个人需通过CSAT提交个人可识别信息以进行审查。
可能被攻击者提取的个人可识别信息包括:
姓名/曾用名
出生日期
公民身份
旅客护照识别号码
全球通关ID
可能被攻击者提取的账户信息包括企业名称、职称、地址和电话号码。
攻击者如何渗透CSAT
CISA 表示已在1月26日找到了影响 CSAT Ivanti Connect Secure 设备的潜在恶意活动,之后立即将系统下线并隔离。之后开展了取证调查,参与人员包括来自CISA 首席信息官办公室、网络安全部威胁猎捕团队和国土安全部网络行动中心的安全专家。
调查显示,恶意人员在该 Ivanti 设备上安装了一个高阶 webshell。该 webshell 能够执行恶意命令或将文件写入底层系统。CISA 发现该攻击者在两天时间内多次访问该 webshell。
除此以外,并未发现CSAT数据或其它设备遭越权访问。CISA 表示,CSAT中持有的所有数据均被加密,每台设备中的信息已部署额外的安全控制,以限制其横向移动。此外,密钥并不包含在攻击者所访问的系统中。虽然尚未有证据表明凭据被盗,但CISA建议拥有CSAT账户的任何个人都重置密码,免受暴力攻击。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
CISA提醒修复RAD SecFlow-2 工业交换机中的路径遍历漏洞
CISA紧急通告:NextGen Healthcare Mirth Connect正遭攻击
原文链接
https://www.infosecurity-magazine.com/news/chemical-exfiltration-cisa-breach/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~