Подтверждён взлом систем с помощью уязвимостей Ivanti. Некоторые системы отключены от сети

11 марта 2024, 21:08 / Технологии → Новости / Технологии

По иронии судьбы, одной из организаций, скомпрометированных из-за недавно обнаруженной уязвимости в продуктах Ivanti, было Агентство кибербезопасности и безопасности инфраструктуры (CISA) правительства США.

Подтверждение взлома поступило от самой CISA, а также от анонимного источника, «знающего ситуацию». Представитель CISA сообщил The Record, что организация «выявила активность, указывающую на эксплуатацию уязвимостей в продуктах Ivanti, которые использует агентство».

«Воздействие ограничилось двумя системами, которые мы немедленно отключили. Мы продолжаем обновлять и модернизировать наши системы, и на данный момент никаких последствий для эксплуатации это не оказывает», — сказал представитель. Поскольку они не предоставили никаких дополнительных подробностей, издание обратилось к анонимному источнику, знакомому с этим вопросом, который заявил, что взломанные и впоследствии отключенные системы включали шлюз защиты инфраструктуры (IP) и инструмент оценки химической безопасности (CSAT).

Проблемы Иванти в 2024 году

Первый содержит «критическую информацию» о взаимозависимости инфраструктуры США, а второй — «планы химической безопасности частного сектора». CSAT хранит «некоторые из наиболее конфиденциальных промышленных данных страны», утверждает издание, включая инструмент Top Screen для химических объектов высокого риска, планы безопасности объектов и оценку уязвимостей безопасности.

К сожалению, мы не знаем, была ли это атака с использованием программы-вымогателя и действительно ли злоумышленники украли какие-либо конфиденциальные данные, предположительно хранящиеся на этих конечных точках. Кроме того, личность атак также неизвестна, но если это была программа-вымогатель, то, скорее всего, это LockBit, BlackCat (ALPHV) или Cl0p.

Новости о недостатках безопасности в продуктах Ivanti впервые появились в начале января 2024 года, когда компания объявила об устранении критической уязвимости в своем программном обеспечении управления конечными точками (EPM), позволяющей удаленное выполнение кода (RCE). В последующие недели Иванти обнаружил несколько дополнительных уязвимостей, которыми, как позже выяснилось, массово злоупотребляли различные злоумышленники, стремившиеся внедрить различные вредоносные программы и информационные кражи.