Souhrn
V začátku roku 2024 vydala americká Agentura pro kyberbezpečnost a bezpečnost infrastruktury (CISA) nouzový příkaz k okamžitému odpojení softwaru Connect Secure od společnosti Ivanti. Čínští špióni hackli kód tohoto VPN systému a pronikli do téměř dvou desítek organizací, včetně vlivných vládních agentur. Problém pramení z finančního tlaku způsobeného dluhy soukromého kapitálu v mateřské firmě Pulse Secure, který vedl k rozsáhlým propouštěním a oslabení bezpečnostních týmů.
Klíčové body
- Čínští hackeři infiltrovali VPN Connect Secure, standardní řešení pro bezpečné vzdálené připojení sítí, používané armádou USA, NASA, Federální rezervou a bankami jako Wells Fargo či Deutsche Bank.
- CISA nařídila odpojení všech civilních federálních agentur a doporučila instalaci opravy od Ivanti, která však selhala.
- Hack postihl i samotnou CISA: kompromitovány byly dvě citlivé databáze s informacemi o personálu chemických zařízení a zranitelnostech kritické infrastruktury.
- Finanční tlak z dluhu soukromého kapitálu v Pulse Secure (nyní součást Ivanti) urychlil propouštění, což oslabilo údržbu a bezpečnostní audity.
- Softwarová zranitelnost byla zero-day exploit, umožňující neoprávněný přístup bez detekce.
Podrobnosti
Ivanti Inc., americká firma specializující se na bezpečnostní software a řízení zařízení, nabízí Connect Secure jako VPN bránu pro bezpečné vzdálené přístupy k firemním sítím. Tento software funguje jako most mezi uživateli a interními zdroji, šifruje provoz a kontroluje přístupová práva, což ho činí klíčovým nástrojem pro tisíce organizací. Mezi klienty patří americké ozbrojené síly (letecké síly, armáda, námořnictvo), ministerstvo zahraničí, Federální úřad pro civilní letectví (FAA), Federální rezerva, NASA, přes 2000 bank včetně Wells Fargo a Deutsche Bank, stejně jako tisíce soukromých firem – údaje vycházejí z federálních nákupních záznamů a svědectví bývalých zaměstnanců Ivanti.
Pulse Secure, původní vývojář tohoto softwaru zabývající se VPN a bezpečnostními řešeními, byl v roce 2020 koupen Ivanti v transakci za 350 milionů dolarů. Tato akvizice byla financována dluhy soukromého kapitálu (private equity), což vytvořilo obrovský finanční tlak. Propouštění se zrychlilo, zejména v bezpečnostních týmech odpovědných za kódovou bázi a testování zranitelností. Bývalí zaměstnanci popisují, jak rozpočtové škrtání omezilo pravidelné audity a rychlou reakci na hrozby, což přispělo k přehlédnutí zero-day zranitelnosti.
V lednu 2024 CISA vydala direktivu platnou pro všechny civilní federální agentury, ale dopad pocítily i korporátní klienti díky širokému nasazení. Po instalaci oficiální opravy od Ivanti se ukázalo, že fix nestačil: hackeři již pronikli hlouběji. Samotná CISA byla ohrožena – kompromitovány dvě databáze: jedna s údaji o personálu v chemických zařízeních, druhá s hodnocením zranitelností provozovatelů kritické infrastruktury jako energetika či doprava. CISA dodržela vlastní pokyny, přesto došlo k úniku. Tento incident odhaluje systémové chyby v údržbě legacy kódu Pulse Secure, kde nedostatek zdrojů bránil modernizaci.
Proč je to důležité
Tento případ ilustruje rizika financování technologických firem dluhy soukromého kapitálu v kritických sektorech jako kyberbezpečnost. Propouštění v bezpečnostních týmech vede k akumulaci zranitelností, které státní aktéři jako Čína dokážou využít pro špionáž. Pro uživatele znamená nutnost okamžitého auditu VPN systémů a přechod na alternativy s lepší podporou. V širším kontextu posiluje to debatu o regulaci private equity v infrastruktuře – podobné slabiny ohrožují národní bezpečnost USA i spojenců. Firmy jako Ivanti musí investovat do prevence, jinak VPN, původně navržené pro ochranu, stávají se vstupními branami pro útoky. Incident podtrhuje, že bezpečnostní software není imunní vůči ekonomickým tlakům, což má dlouhodobé důsledky pro důvěru v dodavatelské řetězce.
Zdroj: 📰 Financial Post