CISA আদেশ Ivanti VPN যন্ত্রপাতি সংযোগ বিচ্ছিন্ন: কি করতে হবে

ইউনাইটেড স্টেটস সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) ফেডারেল সিভিলিয়ান এক্সিকিউটিভ ব্রাঞ্চ এজেন্সিগুলিকে 48 ঘন্টা সময় দিয়েছে ফেডারেল নেটওয়ার্কগুলিতে ব্যবহৃত সমস্ত ইভান্তি অ্যাপ্লায়েন্স ছিঁড়ে ফেলার জন্য একাধিক হুমকি অভিনেতা সক্রিয়ভাবে একাধিক নিরাপত্তা ত্রুটি শোষণ করছে এই সিস্টেমে. আদেশটি গত সপ্তাহের জরুরী নির্দেশের (ED 24-01) সাথে সম্পূরক নির্দেশনার অংশ।

নিরাপত্তা গবেষকরা বলছেন যে UNC5221 নামে পরিচিত চীনা রাষ্ট্র-সমর্থিত সাইবার আক্রমণকারীরা শূন্য-দিন হিসাবে এবং জানুয়ারির শুরুতে প্রকাশের পর থেকে অন্তত দুটি দুর্বলতাকে কাজে লাগিয়েছে - একটি প্রমাণীকরণ বাইপাস (জন্য CVE-2023-46895) এবং একটি কমান্ড ইনজেকশন (জন্য CVE-2024-21887) ত্রুটি — ইভান্তি কানেক্ট সিকিউরে। উপরন্তু, ইভান্তি এই সপ্তাহে বলেছিলেন যে একটি সার্ভার-সাইড অনুরোধ জালিয়াতি (জন্য CVE-2024-21893) ত্রুটিটি ইতিমধ্যেই একটি শূন্য দিন হিসাবে "লক্ষ্যযুক্ত" আক্রমণে ব্যবহার করা হয়েছে এবং এটি ইভান্তি কানেক্ট সিকিউর এবং ইভান্তি পলিসি সিকিউর (জন্য CVE-2024-21888) যা এখনও বন্য আক্রমণে পরিলক্ষিত হয়নি।

“যে এজেন্সিগুলি প্রভাবিত ইভান্তি কানেক্ট সিকিউর বা ইভান্তি পলিসি সিকিউর প্রোডাক্টগুলিকে অবিলম্বে নিম্নলিখিত কাজগুলি সম্পাদন করতে হবে: যত তাড়াতাড়ি সম্ভব এবং 11 ফেব্রুয়ারী, 59 শুক্রবার রাত 2:2024 এর পরে নয়, ইভান্তি কানেক্ট সিকিউর এবং ইভান্তি পলিসি সিকিউর এর সমস্ত দৃষ্টান্ত সংযোগ বিচ্ছিন্ন করুন এজেন্সি নেটওয়ার্ক থেকে সমাধান পণ্য," CISA তার সম্পূরক নির্দেশনায় লিখেছেন.

CISA-এর নির্দেশিকা "" হিসাবে তালিকাভুক্ত 102টি সংস্থার ক্ষেত্রে প্রযোজ্যফেডারেল বেসামরিক নির্বাহী শাখা সংস্থা,” হোমল্যান্ড সিকিউরিটি ডিপার্টমেন্ট, ডিপার্টমেন্ট অফ এনার্জি, ডিপার্টমেন্ট অফ স্টেট, অফিস অফ পার্সোনেল ম্যানেজমেন্ট এবং সিকিউরিটিজ অ্যান্ড এক্সচেঞ্জ কমিশন (কিন্তু ডিপার্টমেন্ট অফ ডিফেন্স নয়) অন্তর্ভুক্ত একটি তালিকা৷

তাদের পরিবেশে ইভান্তি অ্যাপ্লায়েন্স সহ বেসরকারী সংস্থাগুলিকে তাদের নেটওয়ার্কগুলিকে সম্ভাব্য শোষণ থেকে রক্ষা করতে এই একই পদক্ষেপগুলিকে অগ্রাধিকার দেওয়ার জন্য দৃঢ়ভাবে সুপারিশ করা হয়।

ইভান্তি ভিপিএন সাইবার-ঝুঁকি: এটিকে ছিঁড়ে ফেলুন

প্রায় 48 ঘন্টা নোটিশ সহ পণ্যগুলিকে প্যাচ নয়, সংযোগ বিচ্ছিন্ন করার নির্দেশ "অভূতপূর্ব," উল্লেখ্য ক্লাউড নিরাপত্তা গবেষক স্কট পাইপার. যেহেতু ইভান্তি অ্যাপ্লায়েন্সগুলি সংস্থার নেটওয়ার্ককে বৃহত্তর ইন্টারনেটের সাথে যুক্ত করে, এই বাক্সগুলিকে আপস করার অর্থ হল আক্রমণকারীরা সম্ভাব্যভাবে ডোমেন অ্যাকাউন্ট, ক্লাউড সিস্টেম এবং অন্যান্য সংযুক্ত সংস্থানগুলি অ্যাক্সেস করতে পারে৷ ম্যান্ডিয়েন্ট এবং ভলেক্সিটির সাম্প্রতিক সতর্কবার্তা যে একাধিক হুমকি অভিনেতা গণসংখ্যার ত্রুটিগুলিকে কাজে লাগানো সম্ভবত কেন CISA এখনই যন্ত্রপাতিগুলিকে শারীরিকভাবে সংযোগ বিচ্ছিন্ন করার জন্য জোর দিচ্ছে৷

CISA কম্প্রোমাইজের সূচক (IoCs) খোঁজার জন্য নির্দেশনা প্রদান করেছে, সেইসাথে অ্যাপ্লায়েন্সগুলি পুনঃনির্মাণ করার পরে কীভাবে সবকিছু নেটওয়ার্কের সাথে পুনরায় সংযোগ করতে হবে। CISA আরও বলেছে যে এটি এই কর্মগুলি চালানোর জন্য অভ্যন্তরীণ ক্ষমতা ছাড়া এজেন্সিগুলিকে প্রযুক্তিগত সহায়তা প্রদান করবে।

এজেন্সিগুলিকে এমন সিস্টেমে হুমকি-শিকার কার্যক্রম চালিয়ে যাওয়ার নির্দেশ দেওয়া হয়েছে যা যন্ত্রপাতিগুলির সাথে সংযুক্ত ছিল বা সম্প্রতি সংযুক্ত ছিল, সেইসাথে সিস্টেমগুলিকে "সম্ভব সর্বোচ্চ মাত্রায়" এন্টারপ্রাইজ সংস্থান থেকে বিচ্ছিন্ন করার জন্য। তাদের উচিৎ যে কোনো প্রমাণীকরণ বা পরিচয় ব্যবস্থাপনা পরিষেবা যা উন্মুক্ত করা যেতে পারে এবং বিশেষাধিকার-স্তরের অ্যাক্সেস অ্যাকাউন্টগুলিকে নিরীক্ষণ করা উচিত।

কিভাবে যন্ত্রপাতি পুনরায় সংযোগ

ইভান্তি অ্যাপ্লায়েন্সগুলিকে কেবল নেটওয়ার্কের সাথে পুনরায় সংযোগ করা যায় না, তবে দুর্বলতাগুলি এবং আক্রমণকারীরা যে কোনও কিছু রেখে যেতে পারে তা দূর করার জন্য পুনর্নির্মাণ এবং আপগ্রেড করতে হবে৷

"যদি শোষণ ঘটে থাকে, তাহলে আমরা বিশ্বাস করি যে হুমকি অভিনেতা শোষণের সময় গেটওয়েতে লোড করা ব্যক্তিগত শংসাপত্রগুলির সাথে আপনার চলমান কনফিগারেশনগুলি রপ্তানি করেছেন এবং একটি ওয়েব শেল ফাইল রেখে গেছেন যা ব্যাকডোর ভবিষ্যতে অ্যাক্সেস সক্ষম করে," ইভান্তি একটিতে লিখেছেন নলেজবেস নিবন্ধটি ব্যাখ্যা করে যে কীভাবে যন্ত্রটি পুনর্নির্মাণ করা যায়. "আমরা বিশ্বাস করি যে এই ওয়েব শেলটির উদ্দেশ্য হল দুর্বলতা প্রশমিত হওয়ার পরে গেটওয়েতে একটি ব্যাকডোর প্রদান করা, এই কারণে আমরা গ্রাহকদের প্রশমনের পরে আরও শোষণ রোধ করতে শংসাপত্রগুলি প্রত্যাহার এবং প্রতিস্থাপন করার সুপারিশ করছি।"

অনুমান হল যে যন্ত্রপাতিগুলির সাথে আপোস করা হয়েছে, তাই পরবর্তী ধাপ হল সমস্ত সংযুক্ত বা উন্মুক্ত সার্টিফিকেট, কী এবং পাসওয়ার্ড প্রত্যাহার করা এবং পুনরায় জারি করা৷ এতে অ্যাডমিন সক্ষম পাসওয়ার্ড, সঞ্চিত API কী এবং গেটওয়েতে সংজ্ঞায়িত যেকোনো স্থানীয় ব্যবহারকারীর পাসওয়ার্ড রিসেট করা অন্তর্ভুক্ত, যেমন প্রমাণীকরণ সার্ভার কনফিগারেশনের জন্য ব্যবহৃত পরিষেবা অ্যাকাউন্ট।

5 ফেব্রুয়ারী, 11:59PM EST এর মধ্যে এজেন্সিগুলিকে অবশ্যই CISA-কে এই পদক্ষেপগুলির স্থিতি সম্পর্কে রিপোর্ট করতে হবে৷

আপস অনুমান

কোন সিস্টেমগুলিকে লক্ষ্যবস্তু করা হয়েছে তা অনুমান করার চেষ্টা করার চেয়ে অ্যাপ্লায়েন্সগুলির সাথে সংযুক্ত সমস্ত পরিষেবা এবং ডোমেন অ্যাকাউন্টগুলির সাথে আপস করা হয়েছে এবং সেই অনুযায়ী কাজ করা অনুমান করা নিরাপদ৷ যেমন, সংস্থাগুলিকে অন-প্রিমিস অ্যাকাউন্টগুলির জন্য দুবার পাসওয়ার্ড রিসেট করতে হবে (ডাবল পাসওয়ার্ড রিসেট), Kerberos টিকিট প্রত্যাহার করতে হবে এবং ক্লাউড অ্যাকাউন্টগুলির জন্য টোকেন প্রত্যাহার করতে হবে। ডিভাইস টোকেন প্রত্যাহার করার জন্য ক্লাউড যোগদান/নিবন্ধিত ডিভাইসগুলিকে নিষ্ক্রিয় করতে হবে।

এজেন্সিগুলিকে মার্চ 1, 11:59PM EST-এর মধ্যে সমস্ত ধাপে তাদের অবস্থা রিপোর্ট করতে হবে।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/vulnerabilities-threats/cisa-orders-disconnecting-ivanti-vpn-appliances-what-to-do