Una de las organizaciones comprometidas a través de una falla recientemente descubierta en los productos Ivanti fue, irónicamente, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del gobierno de EE. UU.
La confirmación de la violación provino de la propia CISA, así como de una fuente anónima «con conocimiento de la situación», según dijo un portavoz de CISA. El record la organización “identificó actividad que indica la explotación de vulnerabilidades en los productos Ivanti que utiliza la agencia”.
“El impacto se limitó a dos sistemas, que inmediatamente desconectamos. Continuamos actualizando y modernizando nuestros sistemas y no hay ningún impacto operativo en este momento”, dijo el portavoz. Como no compartieron más detalles, la publicación habló con una fuente anónima familiarizada con el asunto, quien afirmó que los sistemas violados y posteriormente apagados incluían la puerta de enlace de protección de infraestructura (IP) y la herramienta de evaluación de seguridad química (CSAT).
Los problemas de Ivanti en 2024
El primero posee “información crítica” sobre la interdependencia de la infraestructura estadounidense, mientras que el segundo posee “planes de seguridad química del sector privado”. CSAT posee «parte de la información industrial más sensible del país», afirmó además la publicación, diciendo que incluye la herramienta Top Screen para instalaciones químicas de alto riesgo, planes de seguridad del sitio y evaluación de vulnerabilidad de seguridad.
Desafortunadamente, no sabemos si se trató de un ataque de ransomware y si los atacantes realmente robaron alguno de los datos confidenciales supuestamente almacenados en estos puntos finales. Además, también se desconoce la identidad de los ataques, pero si se trató de ransomware, lo más probable es que se trate de LockBit, BlackCat (ALPHV) o Cl0p.
Las noticias sobre fallas de seguridad en los productos Ivanti surgieron por primera vez a principios de enero de 2024, cuando la compañía anunció que abordaría una vulnerabilidad crítica en su software de gestión de endpoints (EPM), lo que permitía la ejecución remota de código (RCE). En las semanas siguientes, Ivanti encontró un puñado de fallas adicionales, de las que luego se descubrió que diferentes actores de amenazas abusaban en masa de ellas y que buscaban implementar varias malware y ladrones de información.