Pasa otro día y llega otro ciberataque. Esta vez, un incidente reciente afectó a una importante entidad del gobierno de EE. UU. conocida como Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). En febrero, los funcionarios de CISA descubrieron que dos de sus sistemas informáticos internos fueron comprometidos por piratas informáticos que explotaron errores en los productos Ivanti, y ambos sistemas fueron desconectados una vez que se detectó la infracción.
Los dos sistemas penetrados incluyen el Portal de Protección de Infraestructura (IP) de CISA , una herramienta integrada que permite a los socios del Departamento de Seguridad Nacional (DHS) obtener información sobre la infraestructura crítica con sede en EE. UU. con el fin de realizar evaluaciones de riesgos, y la Herramienta de Evaluación de Seguridad Química ( CSAT) , que es un portal que contiene datos como planes de seguridad química del sector privado. Los piratas informáticos pudieron eludir la herramienta de verificación de integridad (TIC) de Ivanti e implementar un shell web contra CSAT. La tecnología de los sistemas utilizados por CISA y otros usuarios finales estaba desactualizada y necesitaba una actualización, lo que brindó a los ciberdelincuentes la oportunidad perfecta para violar el software de la agencia.
CISA reveló al Congreso que el ataque a la herramienta CSAT puede haber afectado a más de 100.000 personas, pero según los funcionarios no hay evidencia que sugiera que se hayan producido robos de datos o interrupciones operativas.
Eventos previos al ataque
Desde principios de diciembre de 2023, la empresa de TI Ivanti, con sede en Utah, identificó una serie de vulnerabilidades relacionadas con su VPN de acceso remoto, Connect Secure , y su solución de control de acceso a la red, Policy Secure . CISA emitió alertas y orientación sobre medidas de recuperación y correcciones/parches recomendados por los proveedores, pero los intrusos han seguido evadiendo la detección y explotando las vulnerabilidades durante los últimos meses.
¿Quién está detrás del ataque?
No se ha atribuido oficialmente a un actor de amenazas a este ataque a CISA, pero se sospecha que grupos de espionaje respaldados por el estado y vinculados a China son responsables de la explotación incesante de fallas en la red y las soluciones de terminales de Ivanti. Entre los colectivos conocidos responsables de comprometer al menos una de las fallas recientes de Ivanti se encuentra un operador de sindicato cibernético conocido como " Magn Duende ". Este grupo generalmente se enfoca en explotar vulnerabilidades de un día para poder capitalizarlas rápidamente en el momento en que se revelan. Este fue el caso cuando Ivanti publicó un aviso sobre la vulnerabilidad CVE-2024-21887 . Magnet Goblin comenzó a apuntar a sistemas sin parches un día después de que la empresa lanzara un parche.
La realidad de los ciberincidentes hoy
La violación de CISA sirve como ejemplo de cuán complejo y dinámico es actualmente el entorno de amenazas para las agencias gubernamentales. La rápida detección de actividades sospechosas por parte de CISA, seguida de medidas proactivas para cerrar los dos sistemas críticos, subraya su compromiso de ser un protector resistente, especialmente en casos como este, que involucraron ataques repetidos y sofisticados al mismo software en los meses previos al ataque. en CISA.
Lecciones aprendidas: la importancia de la modernización de TI
Una conclusión clave de esta situación es que los sistemas heredados deben reemplazarse periódicamente para reducir el riesgo de que el software de terceros contenga vulnerabilidades. Las entidades gubernamentales de todos los tamaños almacenan información confidencial, por lo que garantizar que todos los elementos de la infraestructura de ciberseguridad sean seguros y estén actualizados ayudará a proteger contra debilidades y fallas conocidas
Fuente: Baaracuda.com