Doszło do naruszenia systemów CISA, amerykańskiej agencji ds. cyberbezpieczeństwa. Hakerzy wykorzystali luki w zabezpieczeniach Ivanti VPN – według informacji Recorded Future News.

Miesiąc temu miało dojść do naruszenia bezpieczeństwa dwóch systemów. Jest to bramka ochrony infrastruktury (IP), w której przechowywane są krytyczne informacje na temat współzależności infrastruktury USA, oraz narzędzie oceny bezpieczeństwa chemicznego (CSAT), zawierające wrażliwe dane dotyczące cyberochrony sektora chemicznego.

W styczniu br. CISA ostrzegała przed wykorzystaniem luk w produktach Ivanti – Connect Secure (VPN) oraz Policy Secure Gateways. Nakazała jednostkom rządowym odłączenie ich od sieci. Teraz wygląda na to, że sama stała się ofiarą.

Według badaczy bezpieczeństwa trzy luki w Connect Secure były przedmiotem masowego wykorzystywania przez hakerów od czasu ich pierwszego ujawnienia 10 stycznia. Eksperci z Volexity ustalili, że za atakami stoi grupa, której przypisuje się związki z chińskimi władzami.

Wykryte błędy umożliwiają obejście uwierzytelniania (luka CVE-2023-46805) i wydawanie poleceń (CVE-2024-21887). Ivanti przyznało, że luki te mogą zostać wykorzystane łącznie przez cyberprzestępców do obrania za cel klientów Connect Secure VPN.

Według ostatnich ustaleń CISA nawet przywrócenie ustawień fabrycznych sieci VPN Ivanti Connect Secure może nie wystarczyć, aby usunąć zagrażenie. Ivanti w końcu stycznia br. udostępniło łatkę do zabezpieczeń VPN

Badacze bezpieczeństwa twierdzą również, że zaobserwowali powszechne wykorzystywanie luki w zabezpieczeniach Connect Secure, umożliwiającej fałszowanie żądań po stronie serwera (CVE-2024-21893).