CISA ordnet die Trennung der Ivanti VPN-Appliances an: Was zu tun ist

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat den zivilen Exekutivbehörden des Bundes aus Bedenken eine Frist von 48 Stunden eingeräumt, um alle in Bundesnetzwerken verwendeten Ivanti-Geräte zu entfernen Mehrere Bedrohungsakteure nutzen aktiv mehrere Sicherheitslücken aus in diesen Systemen. Die Anordnung ist Teil der ergänzenden Anweisung zur Dringlichkeitsrichtlinie der letzten Woche (ED 24-01).

Sicherheitsforscher sagen, dass staatlich unterstützte chinesische Cyberangreifer namens UNC5221 mindestens zwei Schwachstellen sowohl als Zero-Day-Angriffe als auch seit der Offenlegung Anfang Januar ausgenutzt haben – eine Authentifizierungsumgehung (CVE-2023-46895) und eine Befehlsinjektion (CVE-2024-21887) Fehler – in Ivanti Connect Secure. Darüber hinaus sagte Ivanti diese Woche, dass eine serverseitige Anforderungsfälschung (CVE-2024-21893)-Fehler wurde bereits bei „gezielten“ Angriffen als Zero-Day-Angriff genutzt und offenbarte eine Sicherheitslücke zur Rechteausweitung in der Webkomponente von Ivanti Connect Secure und Ivanti Policy Secure (CVE-2024-21888), was bei Angriffen in freier Wildbahn noch nicht beobachtet wurde.

„Agenturen, die betroffene Ivanti Connect Secure- oder Ivanti Policy Secure-Produkte verwenden, müssen sofort die folgenden Aufgaben ausführen: Trennen Sie so schnell wie möglich, spätestens jedoch um 11:59 Uhr am Freitag, den 2. Februar 2024, alle Instanzen von Ivanti Connect Secure und Ivanti Policy Secure Lösungsprodukte aus Agenturnetzwerken“, CISA schrieb in seiner ergänzenden Richtung.

Die CISA-Richtlinie gilt für die 102 Agenturen, die als „Bundesbehörden der zivilen Exekutive“, eine Liste, die das Ministerium für innere Sicherheit, das Energieministerium, das Außenministerium, das Amt für Personalmanagement und die Börsenaufsichtsbehörde (jedoch nicht das Verteidigungsministerium) umfasst.

Privaten Unternehmen mit Ivanti-Appliances in ihren Umgebungen wird dringend empfohlen, dieselben Schritte vorrangig zu unternehmen, um ihre Netzwerke vor potenzieller Ausbeutung zu schützen.

Ivanti VPN Cyber-Risiko: Machen Sie alles klar

Die Anweisung, die Produkte mit nur etwa 48 Stunden Vorankündigung zu trennen und nicht zu patchen, „ist beispiellos“ Der bekannte Cloud-Sicherheitsforscher Scott Piper. Da Ivanti-Appliances das Netzwerk des Unternehmens mit dem breiteren Internet verbinden, bedeutet die Kompromittierung dieser Boxen, dass Angreifer potenziell auf Domänenkonten, Cloud-Systeme und andere verbundene Ressourcen zugreifen können. Die jüngsten Warnungen von Mandiant und Volexity, dass es mehrere Bedrohungsakteure gibt Ausnutzung der Mängel in Massenzahlen Dies ist wahrscheinlich der Grund, warum CISA darauf besteht, die Geräte sofort physisch vom Netz zu trennen.

CISA lieferte Anweisungen zur Suche nach Kompromittierungsindikatoren (Indicators of Compromise, IoCs) sowie dazu, wie nach dem Wiederaufbau der Appliances alles wieder mit den Netzwerken verbunden werden kann. CISA sagte außerdem, dass es Agenturen, die über keine internen Kapazitäten zur Durchführung dieser Maßnahmen verfügen, technische Hilfe leisten werde.

Behörden werden angewiesen, die Bedrohungssuche auf Systemen fortzusetzen, die mit den Appliances verbunden waren oder kürzlich verbunden waren, und die Systeme „so weit wie möglich“ von Unternehmensressourcen zu isolieren. Sie sollten auch alle möglicherweise offengelegten Authentifizierungs- oder Identitätsverwaltungsdienste überwachen und Zugriffskonten auf Berechtigungsebene prüfen.

So schließen Sie Geräte wieder an

Die Ivanti-Appliances können nicht einfach wieder mit dem Netzwerk verbunden werden, sondern müssen neu erstellt und aktualisiert werden, um die Schwachstellen und alles, was Angreifer möglicherweise hinterlassen haben, zu beseitigen.

„Wenn ein Angriff stattgefunden hat, glauben wir, dass es wahrscheinlich ist, dass der Bedrohungsakteur einen Export Ihrer laufenden Konfigurationen mit den zum Zeitpunkt des Angriffs auf das Gateway geladenen privaten Zertifikaten vorgenommen und eine Web-Shell-Datei hinterlassen hat, die einen zukünftigen Zugriff durch die Hintertür ermöglicht“, so Ivanti schrieb in a Knowledgebase-Artikel, in dem erläutert wird, wie die Appliance neu aufgebaut wird. „Wir glauben, dass der Zweck dieser Web-Shell darin besteht, eine Hintertür zum Gateway bereitzustellen, nachdem die Schwachstelle entschärft wurde. Aus diesem Grund empfehlen wir Kunden, Zertifikate zu widerrufen und zu ersetzen, um eine weitere Ausnutzung nach der Entschärfung zu verhindern.“

Da davon ausgegangen wird, dass die Appliances kompromittiert wurden, besteht der nächste Schritt darin, alle verbundenen oder offengelegten Zertifikate, Schlüssel und Passwörter zu widerrufen und erneut auszustellen. Dazu gehört das Zurücksetzen des Administrator-Aktivierungskennworts, der gespeicherten API-Schlüssel und des Kennworts aller lokalen Benutzer, die auf dem Gateway definiert sind, z. B. Dienstkonten, die für die Authentifizierungsserverkonfiguration verwendet werden.

Agenturen müssen CISA den Status dieser Schritte bis zum 5. Februar, 11:59 Uhr EST melden.

Gehen Sie von einem Kompromiss aus

Es ist sicherer anzunehmen, dass alle mit den Appliances verbundenen Dienste und Domänenkonten kompromittiert wurden, und entsprechend zu handeln, als zu erraten, welche Systeme möglicherweise angegriffen wurden. Daher müssen Agenturen Passwörter für On-Premise-Konten zweimal zurücksetzen (doppeltes Passwort-Reset), Kerberos-Tickets widerrufen und Token für Cloud-Konten widerrufen. In der Cloud eingebundene/registrierte Geräte mussten deaktiviert werden, um die Geräte-Tokens zu widerrufen.

Agenturen müssen ihren Status in allen Schritten bis zum 1. März, 11:59 Uhr EST melden.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/vulnerabilities-threats/cisa-orders-disconnecting-ivanti-vpn-appliances-what-to-do