CISA ønsker udbedrede offentlige enheder afhjælpet på 14 dage

Forskere har opdaget hundredvis af enheder, der kører på offentlige netværk, som afslører fjernstyringsgrænseflader på det åbne web. Takket være Cybersecurity and Infrastructure Security Agency (CISA), vil det ændre sig hurtigt - muligvis for hurtigt, ifølge nogle eksperter.

Den 13. juni frigav CISA Bindende operationelle direktiv (BOD) 23-02, med det mål at eliminere internet-eksponerede administrationsgrænseflader, der kører på edge-enheder i Federal Civilian Executive Branch (FCEB) agenturnetværk. Meddelelsen kom kort efter CISA's råd om Volt Typhoon, den kinesiske statsstøttede avancerede vedvarende trussel (APT), der udnyttede Fortinet FortiGuard-enheder i spionagekampagner mod amerikanske regeringsenheder.

For at måle, hvor betydningsfuld BOD 23-02 ville være, forskere ved Censys scannede internettet for enheder, der afslører administrationsgrænseflader i føderale civile udøvende magt (FCEB) agenturer. Scanningerne afslørede næsten 250 kvalificerende enheder, samt en række andre netværkssårbarheder uden for rammerne af BOD 23-02. 

"Selvom dette eksponeringsniveau sandsynligvis ikke berettiger til en øjeblikkelig panik, er det stadig bekymrende, for det kan kun være toppen af ​​isbjerget," siger Himaja Motheram, sikkerhedsforsker for Censys. "Det tyder på, at der kan være dybere og mere kritiske sikkerhedsproblemer, hvis denne form for grundlæggende hygiejne ikke bliver opfyldt."

Hvor udsatte FCEB-organisationer er

Enheder, der kvalificerer sig i henhold til BOD 23-02, omfatter internetudsatte routere, switches, firewalls, VPN-koncentratorer, proxyer, belastningsbalancere, out-of-band serveradministrationsgrænseflader og alle andre "for hvilke administrationsgrænsefladerne bruger netværksprotokoller til fjernstyring over offentligt internet," forklarede CISA - protokoller som HTTP, FTP SMB og andre.

Censys-forskere opdagede hundredvis af sådanne enheder, inklusive forskellige Cisco-enheder, der afslørede Adaptive Security Device Manager-grænseflader, Cradlepoint-routergrænseflader og populære firewallprodukter fra Fortinet , SonicWall. De fandt også mere end 15 tilfælde af eksponerede fjernadgangsprotokoller, der kører på FCEB-relaterede værter.

Søgningen var så rigelig, at de endda afdækkede mange føderale netværkssårbarheder uden for rammerne af BOD 23-02, bl.a. eksponerede filoverførselsværktøjer som GoAnywhere MFT , Flyt det, afslørede Barracuda-e-mailsikkerhedsgateways, og forskellige forekomster af nedlagt software.

Organisationer kender ofte ikke deres eksponeringsniveau eller forstår ikke konsekvenserne af eksponering. Motheram understreger, at ubeskyttet udstyr var ret nemt at finde. "Og det, der var trivielt for os at finde, er ærligt talt nok endnu mere trivielt for amatør-trusselsaktører derude."

Hvordan Edge-enheder bliver eksponeret

Hvordan kan det være, at så mange enheder bliver eksponeret på ellers meget granskede offentlige netværk?

Joe Head, CTO for Intrusion, peger på en række årsager, herunder "bekvemmelighed for administratoren, mangel på driftssikkerhedsbevidsthed, manglende respekt for modstandere, brug af standard eller kendte adgangskoder og mangel på synlighed."

James Cochran, direktør for slutpunktssikkerhed hos Tanium, tilføjer, at "mangel på personale kan få overbebyrdede it-teams til at tage genveje, så de kan gøre administrationen af ​​netværket lettere."

Overvej også de fælder, der er unikke for regeringen, der kan gøre problemet endnu værre. "Med lidt tilsyn og bekymring for potentielle trusler kan enheder blive tilføjet til netværket under dække af at være 'missionskritiske', hvilket fritager dem fra enhver undersøgelse," beklager Cochran. Agenturer kan også fusionere eller udvide med huller i deres netværks- og sikkerhedsintegration. "Over tid begynder de overordnede netværk at ligne noget ud af en Mad Max-film, hvor tilfældige ting er boltet sammen, og du er ikke sikker på hvorfor."

Vil BIR 23-02 vende tingene om?

I sit direktiv indikerede CISA, at det vil begynde at scanne efter kvalificerende enheder og informere de skyldige instanser. Efter underretning vil fornærmende instanser kun have 14 dage til enten at afbryde disse enheder fra nettet eller "implementere funktioner, som en del af en nul-tillidsarkitektur, der håndhæver adgangskontrol til grænsefladen gennem et politikhåndhævelsespunkt, der er adskilt fra selve grænsefladen ."

Denne to-ugers periode vil tvinge relevante bureauer til at handle hurtigt for at sikre deres systemer. Men det kunne være svært, erkender Motheram. "I teorien burde det være enkelt at fjerne enheder, der er eksponeret fra internettet, men det er ikke altid virkeligheden. Der kan være noget bureaukrati at forholde sig til, når man ændrer adgangspolitikker, der tilføjer friktion,” forklarer hun.

Andre mener, at byrden er unødig. "Dette er ikke en ansvarlig tidslinje," siger Cochran. "Da problemet er så udbredt, ville jeg forvente, at der vil være betydelige konsekvenser for de identificerede agenturer. Det er det samme som at forsøge at løse en bunke ledninger ved at save igennem dem."

Andre bifalder CISA's no-nonsense tilgang. "Det er svært at komme med en tidslinje for at stoppe med at gøre det, der aldrig burde have været gjort," siger Head og argumenterer for, at 14 dage kan være for lang tid at vente. "Fem minutter ville være mere tilrådeligt, da ledere beordrer de korrigerende netværksændringer. Det har været standardpraksis ikke at udsætte administrationsgrænseflader til det offentlige internet i årevis, så det er klogt og rimeligt at gøre det obligatorisk."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Automotive/elbiler, Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• BlockOffsets. Modernisering af miljømæssig offset-ejerskab. Adgang her.
• Kilde: https://www.darkreading.com/attacks-breaches/cisa-wants-exposed-government-devices-remediated-14-days