A analisar a mais recente violação da CISA ligada à Ivanti

Outro dia passa, outro ciberataque ocorre. Desta vez, um incidente recente impactou uma entidade governamental dos EUA conhecida como a Agência de Segurança Cibernética e de Infraestrutura (CISA). Em fevereiro, oficiais da CISA descobriram que dois dos seus sistemas internos de computador foram comprometidos por hackers que exploraram falhas em produtos Ivanti, e ambos os sistemas foram desativados assim que a violação foi detetada.  

Os dois sistemas penetrados incluem o Infrastructure Protection (IP) Gateway da CISA, uma ferramenta integrada que permite aos parceiros do Department of Homeland Security (DHS) obter informações sobre infraestruturas críticas baseadas nos EUA para o propósito de realizar avaliações de risco, e o Chemical Security Assessment Tool (CSAT), que é um portal que contém dados como planos de segurança química do setor privado. Os hackers conseguiram contornar a ferramenta de verificação de integridade (ICT) da Ivanti e implantar um web shell contra o CSAT. A tecnologia nos sistemas usados pela CISA e outros utilizadores finais estava desatualizada e precisava de uma atualização, o que proporcionou aos criminosos cibernéticos a oportunidade perfeita para violar o software da agência.

A CISA revelou ao Congresso que o ataque à ferramenta CSAT pode ter impactado mais de 100.000 indivíduos, mas, de acordo com os responsáveis, não há evidências que sugiram roubo de dados ou interrupções operacionais.

Eventos que antecederam o ataque

Desde o início de dezembro de 2023, a empresa de TI de Utah, Ivanti, identificou uma série de vulnerabilidades ligadas ao seu VPN de acesso remoto, Connect Secure, e à sua solução de controlo de acesso à rede, Policy Secure. A CISA emitiu alertas e orientações sobre medidas de recuperação e correções/patches recomendados pelo fornecedor, mas os intrusos continuaram a evitar a deteção e a explorar as vulnerabilidades ao longo dos últimos meses.  

Quem está por trás do ataque?

Ainda não foi oficialmente atribuído a um ator de ameaça este ataque à CISA, mas suspeita-se que grupos de espionagem apoiados pelo estado e ligados à China sejam responsáveis pela exploração incessante de falhas nas soluções de rede e endpoint da Ivanti. Entre os coletivos conhecidos responsáveis por comprometer pelo menos uma das falhas recentes da Ivanti está um sindicato cibernético operativo conhecido como “Magnet Goblin.” Este grupo geralmente foca-se em explorar vulnerabilidades de um dia para que possam capitalizá-las rapidamente no momento em que são divulgadas. Foi o caso quando a Ivanti publicou um aviso para a vulnerabilidade CVE-2024-21887. Magnet Goblin começou a direcionar sistemas não corrigidos um dia após a empresa ter lançado uma correção.  

A realidade dos incidentes cibernéticos hoje

A violação da CISA serve como um exemplo de quão complexo e dinâmico é atualmente o ambiente de ameaças para as agências governamentais. A rápida deteção de atividade suspeita pela CISA, seguida de medidas proativas para encerrar os dois sistemas críticos, sublinha o seu compromisso em ser um protetor resiliente, especialmente em casos como este, que envolveram ataques repetidos e sofisticados ao mesmo software nos meses que antecederam o ataque à CISA.

Lições aprendidas: A importância da modernização de TI

Um ponto chave a retirar desta situação é que os sistemas legados devem ser substituídos regularmente para reduzir o risco de software de terceiros conter vulnerabilidades. As entidades governamentais de todas as dimensões armazenam informações sensíveis, pelo que garantir que todos os elementos da infraestrutura de cibersegurança estão seguros e atualizados ajudará a proteger contra fraquezas e falhas conhecidas.