La CISA prévient que son environnement d'outil d'évaluation de la sécurité chimique (CSAT) a été piraté en janvier après que des pirates ont déployé un webshell sur son appareil Ivanti, exposant potentiellement des évaluations et des plans de sécurité sensibles.

CSAT est un portail en ligne utilisé par les installations pour signaler leur possession de produits chimiques susceptibles d'être utilisés à des fins terroristes afin de déterminer si elles sont considérées comme une installation à haut risque. S'ils sont considérés comme à haut risque, l'outil les invitera à télécharger une évaluation des vulnérabilités de sécurité (SVA) et une enquête sur le plan de sécurité du site (SSP) contenant des informations sensibles sur l'installation.

En mars, The Record a rapporté pour la première fois que CISA a subi une violation après l'exploitation du périphérique Ivanti de l'agence, l'obligeant à mettre deux systèmes hors ligne pendant qu'elle enquêtait sur l'incident.

Bien que la CISA n'ait pas voulu partager de détails sur l'incident, les sources de The Record ont déclaré qu'il s'agissait de la passerelle de protection des infrastructures (IP) et de l'outil d'évaluation de la sécurité chimique (CSAT).

La CISA confirme la violation

CISA a maintenant confirmé que l'appliance CSAT Ivanti Connect Secure a été violée le 23 janvier 2024, permettant à un acteur malveillant de télécharger un shell Web sur l'appareil.

L’acteur malveillant a ensuite accédé à ce shell Web à plusieurs reprises en deux jours.

Une fois que CISA a découvert la violation, ils ont mis l'appareil hors ligne pour enquêter sur les actions entreprises par l'acteur menaçant et sur les données potentiellement exposées.

CISA n'a pas indiqué quelles vulnérabilités ont été exploitées, faisant plutôt référence à un Document LPCC sur les acteurs malveillants exploitant plusieurs vulnérabilités sur les appareils Ivanti Connect Secure et Policy Secure Gateway.

Ce document fait référence à trois vulnérabilités suivies comme CVE-2023-46805, CVE-2024-21887et CVE-2024-21893, tous divulgués avant la violation de la CISA le 23 janvier, les acteurs malveillants les exploitant rapidement. Une vulnérabilité, CVE-2024-21888, a été divulguée le 22 janvier, un jour avant que le périphérique Ivanti de CISA ne soit piraté.

Bien que CISA affirme que toutes les données de l'application CSAT sont cryptées avec le cryptage AES 256 et qu'il n'y a aucune preuve que les données CSAT ont été volées, ils ont décidé d'informer les entreprises et les particuliers avec beaucoup de prudence.

« CISA informe tous les participants concernés du programme CFATS par prudence que ces informations pourraient avoir été consultées de manière inappropriée », explique le Notification de violation de données CISA.

« Même sans preuve d'exfiltration de données, le nombre d'individus et d'organisations potentiels dont les données étaient potentiellement menacées a atteint le seuil d'un incident majeur en vertu de la loi fédérale sur la modernisation de la sécurité de l'information (FISMA). »

Les données qui auraient pu être exposées comprennent des enquêtes sur l'écran supérieur, des évaluations des vulnérabilités de sécurité, des plans de sécurité du site, des soumissions au programme de garantie du personnel et des comptes d'utilisateurs CSAT.

Ces soumissions contiennent des informations très sensibles sur la posture de sécurité et l'inventaire chimique des installations utilisant l'outil CSAT.

CISA indique que les comptes d'utilisateurs CSAT contenaient les informations suivantes.

• Alias
• Lieu de naissance
• Citoyenneté
• Numéro de passeport
• Numéro de recours
• Un numéro
• Numéro d'identification de l'entrée globale
• Numéro d'identification TWIC

Bien que la CISA affirme qu'il n'y a aucune preuve de vol d'informations d'identification, elle recommande à tous les titulaires de comptes CSAT de réinitialiser les mots de passe de tous leurs comptes utilisant le même mot de passe.

CISA envoie différentes lettres de notification selon que vous êtes ou non un individuel ou organisation.