סוכנות הסייבר CISA נפגעה מפריצה בסייבר

הסוכנות האמריקנית לאבטחת סייבר ותשתיות, CISA, נאלצה להעביר בחודש שעבר שתי מערכות IT לפעול באופן לא מקוון, בעקבות הפריצה ל-איבנטי (Ivanti).

לפי גורמים רשמיים, האקרים פרצו את המערכות של הסוכנות בפברואר השנה, לאחר שהם ניצלו פרצות במוצרי איבנטי. דובר של הסוכנות הפדרלית אישר את הדיווח, "הסוכנות זיהתה פעילות המעידה על ניצול נקודות תורפה במוצרי איבנטי, בהם אנו עושים שימוש".

"ההשפעה של הפריצה הייתה מוגבלת לשתי מערכות IT, אותן העברנו באופן מיידי למצב לא מקוון. אנו ממשיכים לשדרג ולחדש את המערכות שלנו, ואין לפריצה השפעה תפעולית בשלב זה", נמסר מהסוכנות. "האירוע מהווה תזכורת לכך שכל ארגון עלול להיות מושפע מפגיעות סייבר. קיומה של תוכנית תגובה לאירועים – הוא מרכיב הכרחי לחוסן בסייבר".

CISA סירבה לפרט ולהשיב על מגוון שאלות: מי עומד מאחורי התקרית? האם בוצעה גישה לנתונים? האם נגנבו נתונים? אילו מערכות הועברו למצב לא מקוון?

ב-Recorded Future News פורסם כי שתי המערכות שנפגעו הן שער הגנת התשתית (IP), שמכיל מידע קריטי על התלות ההדדית של תשתיות ארה"ב; והכלי להערכת מצב האבטחה בארגוני ובמפעלים כימים (CSAT), בעלי סיכון גבוה. CISA סירבה לאשר או להכחיש אם אלו המערכות שהועברו למצב לא מקוון.

CISA אמרה כי ארגונים צריכים לעיין בהתרעה שהיא הנפיקה בסוף החודש שעבר, בה הזהירה שגורמי איום מנצלים פגיעויות שזוהו בעבר בשני המוצרים – Ivanti Connect Secure; ו-ו-Ivanti Policy Secure.

באלה התגלו החולשות שהיוו את השער לפריצה, שסווגו כ-CVE-2023-46805, CVE-2024-21887 ו-CVE-2024-218933, והן בדרגת חומרה של 9.1 ויותר.

האקרים פרצו ל-CISA באמצעת התקניה, שבהם סוכנות הסייבר האמריקנית היא עושה שימוש. האקרים פרצו ל-CISA באמצעת התקנים שלה שבהם סוכנות הסייבר האמריקנית היא עושה שימוש. אבנטי. צילום: שאטרסטוק

CISA הזהירה ארגונים מניצול נקודות תורפה במוצרי איבנטי

באחרונה, כמה מסוכנויות אבטחת סייבר בעולם חשפו שהאקרים גילו דרך לעקוף כלי של איבנטי, אותו היא פרסמה – כדי לעזור לארגונים לבדוק אם הם נפגעו.

מאז 2020, CISA הזהירה ארגונים מפני האקרים הנתמכים על ידי המדינה – כולל כאלה המקושרים לסין – המנצלים נקודות תורפה במוצרי איבנטי.

בינואר השנה פרסמנו כי האקרים סינים ניצלו שתי פגיעויות ב-איבנטי ותקפו את מערכת ניהול הפגיעויות של ספקית תוכנות ה-IT והאבטחה. לפי איבנטי, צמד נקודות התורפה הן בדרגת חומרה גבוהה והניצול שלהן לרעה משפיע על ה-Connect Secure VPN שלה.

בדצמבר 2023 גילו חוקרי וולקסיטי שניתן לנצל פגיעויות אלה כדי לאפשר שליטה מרחוק במכשירי Connect Secure VPN של ספקית האבטחה.

לפי איבנטי בהודעה מאז, "גורמי איומים עלולים לעשות שימוש בפגיעויות, ולהתמקד בלקוחות שלנו שיש להם Connect Secure VPN שלנו. בדרך זו, ניתן לנצל את הפגיעויות ללא צורך באימות. מצב זה מאפשר לשחקן האיום ליצור בקשות זדוניות ולבצע פקודות שרירותיות במערכת". לפי החברה, אז היה ידוע לה על יותר מ-10 לקוחות ארגוניים שהושפעו מהפגיעויות.

איבנטי רכשה את הטכנולוגיה שמאחורי Connect Secure VPN שלה כשקנתה את Pulse Secure ב-2020. החברה מתמחה בעולמות ניהול משאבי ה-IT ואבטחת המידע, ולה יותר מ-40 אלף לקוחות ארגוניים, בהם 78 מחברות פורצ'ן 100.

האם גם במקרה זה, האקרים שלוחי המשטר בבייג'ינג שוב תקפו? צילום: Shutterstock

האם UTA0178 הסינית מאחורי ההתקפות?

חוקרי וולקסיטי ייחסו את ההתקפות נגד לקוחות Connect Secure לשחקן איום שפועל בחסות מדינת לאום, בשם UTA0178. ההערכות בקרב מומחי אבטחה הן שמדובר בקבוצת האקרים שפועלת בגיבוי הממשל הסיני.

לפני יותר משנה ביקר בארץ שריניבאס מוקאמלה, סגן נשיא בכיר לפתרונות אבטחה ב-איבנטי, ואמר כי "פער הזמן בין גילוי חולשה ועד לחסימתה עם עדכון תוכנה – ארוך מדי, ומייצר נקודות תורפה המסכנות את הארגון". לדבריו, "בסייבר מתקיימת מלחמה א-סימטרית, והדבר נכון במיוחד בתחום של ניהול פגיעויות. התוקף צריך למצוא רק נקודת תורפה אחת כדי לפרוץ לארגון, ולעומתו מגיני הסייבר צריכים להגן, לנטר ולאבטח אינסוף נקודות תורפה ואפשרויות תקיפה".

מחקר שערכה החברה לפני כשנה העלה כי קבוצות האקרים מנצלות פגיעויות בארגונים שטרם עדכנו את המערכות שלהם, גם לביצוע של מתקפות כופרה.

יצוין כי כבר לפני כשנה, באפריל 2023, ההאקרים ניצלו את הפגיעות, שאז הייתה חדשה – כדי לתקוף באמצעותה את ממשלת נורבגיה והם פגעו בתריסר משרדי ממשלה.