Οι ερευνητές ανακάλυψαν εκατοντάδες συσκευές που λειτουργούν σε κυβερνητικά δίκτυα που εκθέτουν διεπαφές απομακρυσμένης διαχείρισης στον ανοιχτό Ιστό. Χάρη στην Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA), αυτό θα αλλάξει γρήγορα — ενδεχομένως πολύ γρήγορα, σύμφωνα με ορισμένους ειδικούς.
Στις 13 Ιουνίου, η CISA κυκλοφόρησε Δεσμευτική Επιχειρησιακή Οδηγία (ΔΣ) 23-02, με στόχο την εξάλειψη διεπαφών διαχείρισης που εκτίθενται στο Διαδίκτυο που εκτελούνται σε συσκευές αιχμής σε δίκτυα πρακτορείων Federal Civilian Executive Branch (FCEB). Η ανακοίνωση ήρθε αμέσως μετά Η συμβουλή της CISA για το Volt Typhoon, η υποστηριζόμενη από το κινεζικό κράτος προηγμένη επίμονη απειλή (APT) που αξιοποίησε συσκευές Fortinet FortiGuard σε εκστρατείες κατασκοπείας εναντίον κυβερνητικών φορέων των ΗΠΑ.
Για να μετρήσετε πόσο σημαντικό θα ήταν το BOD 23-02, ερευνητές στο Censys σάρωση του Διαδικτύου για συσκευές που εκθέτουν διεπαφές διαχείρισης σε ομοσπονδιακό πολιτικό εκτελεστικό τμήμα (FCEB) πρακτορεία. Οι σαρώσεις αποκάλυψαν σχεδόν 250 συσκευές που πληρούν τις προϋποθέσεις, καθώς και μια σειρά από άλλες ευπάθειες δικτύου εκτός του πεδίου εφαρμογής του BOD 23-02.
«Αν και αυτό το επίπεδο έκθεσης πιθανότατα δεν δικαιολογεί έναν άμεσο πανικό, εξακολουθεί να είναι ανησυχητικό, γιατί θα μπορούσε να είναι απλώς η κορυφή του παγόβουνου», λέει ο Himaja Motheram, ερευνητής ασφάλειας για το Censys. «Υποδηλώνει ότι μπορεί να υπάρξουν βαθύτερα και πιο κρίσιμα ζητήματα ασφάλειας, εάν δεν τηρείται αυτό το είδος βασικής υγιεινής».
Πόσο εκτεθειμένοι είναι οι οργανισμοί FCEB
Οι συσκευές που πληρούν τις προϋποθέσεις για το BOD 23-02 περιλαμβάνουν δρομολογητές, διακόπτες, τείχη προστασίας, συγκεντρωτές VPN, proxies, εξισορροπητές φορτίου, διεπαφές διαχείρισης διακομιστή εκτός ζώνης και οποιεσδήποτε άλλες "για τις οποίες οι διεπαφές διαχείρισης χρησιμοποιούν πρωτόκολλα δικτύου για απομακρυσμένη διαχείριση μέσω δημόσιου Διαδικτύου», εξήγησε η CISA — πρωτόκολλα όπως το HTTP, το FTP SMB και άλλα.
Οι ερευνητές της Censys ανακάλυψαν εκατοντάδες τέτοιες συσκευές, συμπεριλαμβανομένων διαφόρων συσκευών Cisco που εκθέτουν Προσαρμοστικές διεπαφές Διαχείρισης Συσκευών Ασφαλείας, Διασυνδέσεις δρομολογητή Cradlepoint και δημοφιλή προϊόντα τείχους προστασίας από την Fortinet και Sonicwall. Βρήκαν επίσης περισσότερες από 15 περιπτώσεις εκτεθειμένων πρωτοκόλλων απομακρυσμένης πρόσβασης που εκτελούνται σε κεντρικούς υπολογιστές που σχετίζονται με το FCEB.
Η αναζήτηση ήταν τόσο άφθονη που αποκάλυψαν ακόμη και πολλά τρωτά σημεία του ομοσπονδιακού δικτύου πέρα από το πεδίο εφαρμογής του BOD 23-02, συμπεριλαμβανομένων εκτεθειμένα εργαλεία μεταφοράς αρχείων όπως το GoAnywhere MFT και Κουνήσου, εκτεθειμένες πύλες ασφαλείας email Barracudaκαι διάφορες παρουσίες λογισμικού που δεν λειτουργεί.
Οι οργανισμοί συχνά δεν γνωρίζουν το επίπεδο έκθεσής τους ή δεν κατανοούν τις συνέπειες της έκθεσης. Η Motheram τονίζει ότι ο απροστάτευτος εξοπλισμός ήταν πολύ απλός να βρεις. «Και αυτό που ήταν ασήμαντο για εμάς είναι, ειλικρινά, πιθανώς ακόμη πιο ασήμαντο για τους ερασιτέχνες ηθοποιούς απειλών εκεί έξω».
Πώς εκτίθενται οι συσκευές Edge
Πώς γίνεται τόσες πολλές συσκευές να εκτίθενται σε κατά τα άλλα εξαιρετικά ελεγχόμενα κυβερνητικά δίκτυα;
Ο Joe Head, CTO of Intrusion, επισημαίνει πολλούς λόγους, όπως «ευκολία του διαχειριστή, έλλειψη συνείδησης λειτουργικής ασφάλειας, έλλειψη σεβασμού για τους αντιπάλους, χρήση προεπιλεγμένων ή γνωστών κωδικών πρόσβασης και έλλειψη ορατότητας».
Ο James Cochran, διευθυντής ασφάλειας τελικών σημείων στο Tanium, προσθέτει ότι «οι ελλείψεις προσωπικού μπορεί να αναγκάσουν τις υπερφορτισμένες ομάδες IT να κάνουν συντομεύσεις ώστε να κάνουν τη διαχείριση του δικτύου ευκολότερη».
Σκεφτείτε, επίσης, τις παγίδες που είναι μοναδικές για την κυβέρνηση που μπορούν να κάνουν το πρόβλημα ακόμη χειρότερο. «Με λίγη επίβλεψη και ανησυχία για πιθανές απειλές, οι συσκευές μπορούν να προστεθούν στο δίκτυο με το πρόσχημα ότι είναι «κρίσιμες για την αποστολή», κάτι που τις απαλλάσσει από κάθε έλεγχο», θρηνεί ο Cochran. Οι εταιρείες μπορούν επίσης να συγχωνευθούν ή να επεκταθούν, με κενά στο δίκτυό τους και στην ενσωμάτωση της ασφάλειας. «Με την πάροδο του χρόνου, τα συνολικά δίκτυα αρχίζουν να μοιάζουν με κάτι από ταινία Mad Max, όπου τυχαία πράγματα ενώνονται μεταξύ τους και δεν είστε σίγουροι γιατί».
Το BOD 23-02 θα αλλάξει τα πράγματα;
Στην οδηγία της, η CISA ανέφερε ότι θα ξεκινήσει τη σάρωση για συσκευές που πληρούν τις προϋποθέσεις και θα ενημερώσει τις υπαίτιες υπηρεσίες. Μετά την ειδοποίηση, οι παραβατικές εταιρείες θα έχουν στη διάθεσή τους μόλις 14 ημέρες είτε για να αποσυνδέσουν αυτές τις συσκευές από τον Ιστό είτε «να αναπτύξουν δυνατότητες, ως μέρος μιας αρχιτεκτονικής μηδενικής εμπιστοσύνης, που επιβάλλουν τον έλεγχο πρόσβασης στη διεπαφή μέσω ενός σημείου επιβολής πολιτικής ξεχωριστό από την ίδια τη διεπαφή .»
Αυτή η περίοδος των δύο εβδομάδων θα αναγκάσει τις αρμόδιες υπηρεσίες να ενεργήσουν γρήγορα για την ασφάλεια των συστημάτων τους. Αλλά αυτό μπορεί να είναι δύσκολο, αναγνωρίζει η Motheram. «Θεωρητικά, η αφαίρεση συσκευών που εκτίθενται από το Διαδίκτυο θα πρέπει να είναι απλή, αλλά αυτό δεν είναι πάντα η πραγματικότητα. Μπορεί να υπάρξει κάποια γραφειοκρατία που πρέπει να αντιμετωπίσετε όταν αλλάζετε πολιτικές πρόσβασης που προσθέτουν τριβές», εξηγεί.
Άλλοι πιστεύουν ότι το βάρος είναι αδικαιολόγητο. "Αυτό δεν είναι ένα υπεύθυνο χρονοδιάγραμμα", λέει ο Cochran. «Δεδομένου ότι το πρόβλημα είναι τόσο διαδεδομένο, θα περίμενα να υπάρξουν σημαντικές επιπτώσεις στους εντοπισμένους φορείς. Αυτό είναι το ίδιο με το να προσπαθείς να ξεμπερδέψεις ένα σωρό σύρματα πριονίζοντάς τα».
Άλλοι επικροτούν τη μη ανοησία προσέγγιση της CISA. «Είναι δύσκολο να βρούμε ένα χρονοδιάγραμμα για να σταματήσουμε να κάνουμε αυτό που δεν θα έπρεπε ποτέ να γίνει», λέει ο Head, υποστηρίζοντας ότι 14 ημέρες μπορεί να είναι πολύ μεγάλες για να περιμένουμε. «Πέντε λεπτά θα ήταν πιο ενδεδειγμένα καθώς οι διαχειριστές αναθέτουν τις διορθωτικές αλλαγές του δικτύου. Αποτελεί καθιερωμένη πρακτική να μην εκτίθενται οι διεπαφές διαχείρισης στο δημόσιο Διαδίκτυο εδώ και χρόνια, επομένως το να γίνει υποχρεωτικό είναι συνετό και λογικό.»
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/attacks-breaches/cisa-wants-exposed-government-devices-remediated-14-days
- :έχει
- :είναι
- :δεν
- :που
- $UP
- 13
- 14
- 15%
- 250
- 7
- a
- Σχετικα
- πρόσβαση
- Σύμφωνα με
- Πράξη
- φορείς
- προσθέτω
- προστιθέμενη
- Προσθέτει
- προηγμένες
- συμβουλευτικός
- κατά
- υπηρεσίες
- πρακτορείο
- Όλα
- Επίσης
- πάντοτε
- amateur
- an
- και
- και την υποδομή
- Ανακοίνωσεις
- κάθε
- πλησιάζω
- APT
- αρχιτεκτονική
- ΕΙΝΑΙ
- γύρω
- AS
- At
- επίγνωση
- Σφυραίνα
- βασικός
- BE
- επειδή
- ήταν
- αρχίζουν
- είναι
- Πιστεύω
- Πέρα
- Υποκατάστημα
- τσαμπί
- βάρος
- γραφειοκρατία
- αλλά
- by
- ήρθε
- Καμπάνιες
- CAN
- Μπορεί να πάρει
- δυνατότητες
- Αιτία
- αλλαγή
- Αλλαγές
- αλλαγή
- κινέζικο
- Cisco
- Ελάτε
- Ανησυχία
- έλεγχος
- ευκολία
- θα μπορούσε να
- κρίσιμης
- ΚΟΤ
- Κυβερνασφάλεια
- Ημ.
- συμφωνία
- βαθύτερη
- Προεπιλογή
- μακαρίτης
- παρατάσσω
- συσκευή
- Συσκευές
- δύσκολος
- Διευθυντής
- ανακάλυψαν
- doesn
- πράξη
- Don
- γίνεται
- ευκολότερη
- άκρη
- είτε
- εξάλειψη
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- ασφάλεια ηλεκτρονικού ταχυδρομείου
- τονίζει
- Τελικό σημείο
- Ασφάλεια τελικού σημείου
- επιβάλλω
- επιβολή
- Even
- εκτελεστικός
- Ανάπτυξη
- αναμένω
- εμπειρογνώμονες
- εξήγησε
- Εξηγεί
- εκτεθειμένος
- Έκθεση
- FAST
- Ομοσπονδιακός
- Αρχεία
- Εύρεση
- firewall
- firewalls
- Για
- Δύναμη
- Fortinet
- Βρέθηκαν
- τριβή
- από
- κενά
- μετρητής
- Εξοπλισμος
- παίρνω
- γκολ
- Κυβέρνηση
- Σκληρά
- Έχω
- κεφάλι
- υψηλά
- Τίμια
- οικοδεσπότες
- Πως
- http
- HTTPS
- Εκατοντάδες
- i
- προσδιορίζονται
- if
- άμεσος
- Επιπτώσεις
- επιπτώσεις
- in
- περιλαμβάνουν
- Συμπεριλαμβανομένου
- υποδεικνύεται
- Υποδομή
- ολοκλήρωση
- περιβάλλον λειτουργίας
- διεπαφές
- Internet
- isn
- θέματα
- IT
- ΤΟΥ
- εαυτό
- Ιούνιος
- μόλις
- Είδος
- Ξέρω
- γνωστός
- Έλλειψη
- Επίπεδο
- Μου αρέσει
- λίγο
- φορτίο
- Μακριά
- κάνω
- Κατασκευή
- διαχείριση
- διευθυντής
- Διευθυντές
- υποχρεωτικό
- πολοί
- max
- Ενδέχεται..
- πηγαίνω
- πληρούνται
- Λεπτ.
- Αποστολή
- περισσότερο
- ταινία
- σχεδόν
- δίκτυο
- δίκτυα
- ποτέ
- κοινοποίηση
- αριθμός
- of
- συχνά
- on
- ανοίξτε
- επιχειρήσεων
- or
- οργανώσεις
- ΑΛΛΑ
- Άλλα
- αλλιώς
- έξω
- εκτός
- επί
- φόρμες
- Επίβλεψη
- Πανικός
- μέρος
- Κωδικοί πρόσβασης
- περίοδος
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Σημείο
- σημεία
- Πολιτικές
- πολιτική
- πιθανώς
- δυναμικού
- πρακτική
- πιθανώς
- Πρόβλημα
- Προϊόντα
- πρωτόκολλα
- δημόσιο
- προκριματικά
- γρήγορα
- τυχαίος
- Πραγματικότητα
- λογικός
- λόγους
- μακρινός
- απομακρυσμένη πρόσβαση
- αφαίρεση
- ερευνητής
- ερευνητές
- σεβασμός
- υπεύθυνος
- Αποκαλυφθε'ντα
- router
- τρέξιμο
- s
- ίδιο
- λέει
- σάρωσης
- έκταση
- λεπτομερής έλεγχος
- Αναζήτηση
- προστατευμένο περιβάλλον
- ασφάλεια
- Ενημέρωση ασφαλείας
- ξεχωριστό
- αυτή
- ελλείψεις
- θα πρέπει να
- σημαντικός
- Απλούς
- αφού
- SMB
- So
- λογισμικό
- μερικοί
- κάτι
- σύντομα
- στελέχωση
- πρότυπο
- Ακόμη
- στάση
- τέτοιος
- Προτείνει
- βέβαιος
- συστήματα
- Πάρτε
- Έργο
- ομάδες
- από
- Ευχαριστώ
- ότι
- Η
- τους
- Τους
- θεωρία
- Εκεί.
- Αυτοί
- αυτοί
- πράγματα
- αυτό
- απειλή
- απειλή
- απειλές
- Μέσω
- ώρα
- χρονοδιάγραμμα
- τύπος
- προς την
- μαζι
- πολύ
- εργαλεία
- μεταφορά
- παγίδες
- ΣΤΡΟΦΗ
- ακάλυπτος
- υπό
- καταλαβαίνω
- μοναδικός
- επάνω σε
- us
- μας κυβέρνηση
- χρήση
- χρησιμοποιώντας
- διάφορα
- ορατότητα
- Βόλτ
- VPN
- Θέματα ευπάθειας
- περιμένετε
- θέλει
- Ενταλμα
- ήταν
- ιστός
- ΛΟΙΠΌΝ
- Τι
- πότε
- Ποιό
- ενώ
- WHY
- διαδεδομένη
- θα
- με
- χειρότερος
- θα
- χρόνια
- Εσείς
- zephyrnet
