Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των Ηνωμένων Πολιτειών (CISA) έδωσε στις υπηρεσίες της Ομοσπονδιακής Πολιτικής Εκτελεστικής Διεύθυνσης 48 ώρες για να αφαιρέσουν όλες τις συσκευές Ivanti που χρησιμοποιούνται σε ομοσπονδιακά δίκτυα, λόγω ανησυχιών ότι Οι φορείς πολλαπλών απειλών εκμεταλλεύονται ενεργά πολλαπλά ελαττώματα ασφαλείας σε αυτά τα συστήματα. Η παραγγελία αποτελεί μέρος της συμπληρωματικής κατεύθυνσης που συνοδεύει την οδηγία έκτακτης ανάγκης της περασμένης εβδομάδας (ΕΔ 24-01).
Ερευνητές ασφαλείας λένε ότι οι κυβερνοεπιθέσεις που υποστηρίζονται από την Κίνα, γνωστοί ως UNC5221, έχουν εκμεταλλευτεί τουλάχιστον δύο τρωτά σημεία τόσο ως zero-days όσο και μετά την αποκάλυψη στις αρχές Ιανουαρίου — μια παράκαμψη ελέγχου ταυτότητας (CVE-2023-46895) και μια ένεση εντολής (CVE-2024-21887) ελάττωμα — στο Ivanti Connect Secure. Επιπλέον, ο Ivanti είπε αυτή την εβδομάδα ότι ένα αίτημα πλαστογραφίας από την πλευρά του διακομιστή (CVE-2024-21893) το ελάττωμα έχει ήδη χρησιμοποιηθεί σε «στοχευμένες» επιθέσεις ως μηδενική ημέρα και αποκάλυψε μια ευπάθεια κλιμάκωσης προνομίων στο στοιχείο Web του Ivanti Connect Secure και του Ivanti Policy Secure (CVE-2024-21888) που δεν παρατηρήθηκε ακόμη σε επιθέσεις στη φύση.
«Οι εταιρείες που εκτελούν επηρεασμένα προϊόντα Ivanti Connect Secure ή Ivanti Policy Secure πρέπει να εκτελούν αμέσως τις ακόλουθες εργασίες: Το συντομότερο δυνατό και το αργότερο στις 11:59 της Παρασκευής 2 Φεβρουαρίου 2024, αποσυνδέστε όλες τις παρουσίες των Ivanti Connect Secure και Ivanti Policy Secure προϊόντα λύσεων από δίκτυα πρακτορείων», Η CISA έγραψε στη συμπληρωματική της κατεύθυνση.
Η οδηγία της CISA ισχύει για τις 102 υπηρεσίες που αναφέρονται ως «ομοσπονδιακά μη στρατιωτικά εκτελεστικά όργανα», μια λίστα που περιλαμβάνει το Υπουργείο Εσωτερικής Ασφάλειας, το Υπουργείο Ενέργειας, το Υπουργείο Εξωτερικών, το Γραφείο Διαχείρισης Προσωπικού και την Επιτροπή Κεφαλαιαγοράς (αλλά όχι το Υπουργείο Άμυνας).
Σε ιδιωτικούς φορείς με συσκευές Ivanti στο περιβάλλον τους συνιστάται να δώσουν προτεραιότητα στη λήψη αυτών των ίδιων μέτρων για την προστασία των δικτύων τους από πιθανή εκμετάλλευση.
Ivanti VPN Cyber-Risk: Rip It All Out
Η οδηγία για την αποσύνδεση, όχι την επιδιόρθωση, των προϊόντων με ειδοποίηση μόλις 48 ωρών «είναι άνευ προηγουμένου», σημείωσε ο ερευνητής ασφάλειας cloud Scott Piper. Επειδή οι συσκευές Ivanti γεφυρώνουν το δίκτυο του οργανισμού με το ευρύτερο Διαδίκτυο, η παραβίαση αυτών των πλαισίων σημαίνει ότι οι εισβολείς μπορούν ενδεχομένως να έχουν πρόσβαση σε λογαριασμούς τομέα, συστήματα cloud και άλλους συνδεδεμένους πόρους. Οι πρόσφατες προειδοποιήσεις από τη Mandiant και το Volexity ότι είναι πολλαπλοί παράγοντες απειλής αξιοποιώντας τα ελαττώματα στους μαζικούς αριθμούς είναι πιθανό ο λόγος για τον οποίο η CISA επιμένει να αποσυνδέσει άμεσα τις συσκευές.
Η CISA παρείχε οδηγίες σχετικά με την αναζήτηση δεικτών συμβιβασμού (IoC), καθώς και τον τρόπο επανασύνδεσης των πάντων στα δίκτυα μετά την ανακατασκευή των συσκευών. Η CISA είπε επίσης ότι θα παράσχει τεχνική βοήθεια σε φορείς που δεν διαθέτουν εσωτερικές δυνατότητες για τη διεξαγωγή αυτών των ενεργειών.
Οι υπηρεσίες λαμβάνουν οδηγίες να συνεχίσουν τις δραστηριότητες κυνηγιού απειλών σε συστήματα που συνδέθηκαν ή συνδέθηκαν πρόσφατα με τις συσκευές, καθώς και να απομονώσουν τα συστήματα από τους πόρους της επιχείρησης «στο μέγιστο δυνατό βαθμό». Θα πρέπει επίσης να παρακολουθούν τυχόν υπηρεσίες ελέγχου ταυτότητας ή διαχείρισης ταυτότητας που θα μπορούσαν να έχουν εκτεθεί και να ελέγχουν λογαριασμούς πρόσβασης σε επίπεδο προνομίων.
Πώς να επανασυνδέσετε τις συσκευές
Οι συσκευές Ivanti δεν μπορούν απλώς να επανασυνδεθούν στο δίκτυο, αλλά πρέπει να ανακατασκευαστούν και να αναβαθμιστούν για να αφαιρέσουν τα τρωτά σημεία και οτιδήποτε μπορεί να έχουν αφήσει πίσω οι επιτιθέμενοι.
"Εάν έχει συμβεί εκμετάλλευση, πιστεύουμε ότι είναι πιθανό ο παράγοντας απειλής να έχει κάνει εξαγωγή των εκτελούμενων διαμορφώσεων με τα ιδιωτικά πιστοποιητικά που έχουν φορτωθεί στην πύλη τη στιγμή της εκμετάλλευσης και να αφήσει πίσω του ένα αρχείο κελύφους Web που επιτρέπει μελλοντική πρόσβαση σε backdoor", Ivanti έγραψε στο α άρθρο της βάσης γνώσεων που εξηγεί πώς να ξαναχτίσετε τη συσκευή. "Πιστεύουμε ότι ο σκοπός αυτού του κελύφους Ιστού είναι να παρέχει μια κερκόπορτα στην πύλη μετά την άμβλυνση της ευπάθειας, για αυτόν τον λόγο συνιστούμε στους πελάτες να ανακαλέσουν και να αντικαταστήσουν τα πιστοποιητικά για να αποτρέψουν περαιτέρω εκμετάλλευση μετά τον μετριασμό."
-
Οι εταιρείες λαμβάνουν οδηγίες να εξάγουν πρώτα τις ρυθμίσεις διαμόρφωσης της συσκευής, να πραγματοποιήσουν επαναφορά εργοστασιακών ρυθμίσεων και, στη συνέχεια, να ξαναφτιάξουν τη συσκευή.
-
Το λογισμικό της συσκευής πρέπει να αναβαθμιστεί μέσω της επίσημης πύλης λήψης σε μία από τις ακόλουθες εκδόσεις: 9.1R18.3, 22.4R2.2, 22.5R1.1, 9.1R14.4 ή 9.1R17.2.
-
Μόλις ολοκληρωθεί η αναβάθμιση, οι ρυθμίσεις διαμόρφωσης μπορούν να εισαχθούν ξανά στη συσκευή.
Η υπόθεση είναι ότι οι συσκευές έχουν παραβιαστεί, επομένως το επόμενο βήμα είναι η ανάκληση και η επανέκδοση όλων των συνδεδεμένων ή εκτεθειμένων πιστοποιητικών, κλειδιών και κωδικών πρόσβασης. Αυτό περιλαμβάνει την επαναφορά του κωδικού πρόσβασης ενεργοποίησης διαχειριστή, των αποθηκευμένων κλειδιών API και του κωδικού πρόσβασης οποιουδήποτε τοπικού χρήστη που ορίζεται στην πύλη, όπως οι λογαριασμοί υπηρεσίας που χρησιμοποιούνται για τη διαμόρφωση διακομιστή ελέγχου ταυτότητας.
Οι εταιρείες πρέπει να αναφέρουν στην CISA την κατάσταση αυτών των βημάτων έως τις 5 Φεβρουαρίου, 11:59 EST.
Υποθέστε Συμβιβασμό
Είναι ασφαλέστερο να υποθέσουμε ότι όλες οι υπηρεσίες και οι λογαριασμοί τομέα που συνδέονται με τις συσκευές έχουν παραβιαστεί και να ενεργήσουμε αναλόγως, παρά να προσπαθήσουμε να μαντέψουμε ποια συστήματα μπορεί να έχουν στοχευθεί. Ως εκ τούτου, οι εταιρείες πρέπει να επαναφέρουν τους κωδικούς πρόσβασης δύο φορές (επαναφορά διπλού κωδικού πρόσβασης) για λογαριασμούς εσωτερικής εγκατάστασης, να ανακαλέσουν εισιτήρια Kerberos και να ανακαλέσουν διακριτικά για λογαριασμούς cloud. Οι συνδεδεμένες/εγγεγραμμένες συσκευές στο cloud έπρεπε να απενεργοποιηθούν προκειμένου να ανακληθούν τα διακριτικά της συσκευής.
Οι εταιρείες πρέπει να αναφέρουν την κατάστασή τους σε όλα τα βήματα έως την 1η Μαρτίου, 11:59 EST.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/vulnerabilities-threats/cisa-orders-disconnecting-ivanti-vpn-appliances-what-to-do
- :έχει
- :είναι
- :δεν
- 1
- 10
- 11
- 12
- 2024
- 22
- 7
- 8
- 9
- a
- πρόσβαση
- αναλόγως
- Λογαριασμοί
- απέναντι
- Πράξη
- ενεργειών
- δραστήρια
- δραστηριοτήτων
- φορείς
- Επιπλέον
- διαχειριστής
- επηρεαστούν
- Μετά το
- υπηρεσίες
- πρακτορείο
- Όλα
- ήδη
- Επίσης
- an
- και
- και την υποδομή
- κάθε
- οτιδήποτε
- api
- ΚΛΕΙΔΙΑ API
- συσκευές
- ισχύει
- ΕΙΝΑΙ
- άρθρο
- AS
- Βοήθεια
- υποθέτω
- υπόθεση
- At
- Επιθέσεις
- έλεγχος
- Auth
- Πιστοποίηση
- μακριά
- πίσω
- κερκόπορτα
- BE
- επειδή
- ήταν
- πίσω
- Πιστεύω
- και οι δύο
- κουτιά
- Υποκατάστημα
- ΓΕΦΥΡΑ
- ευρύτερη
- αλλά
- by
- παρακάμψει
- CAN
- δεν μπορώ
- δυνατότητες
- κουβαλάω
- πιστοποιητικά
- κινέζικο
- Κύκλος
- πολιτικός
- Backup
- Ασφάλεια Cloud
- παραπομπής σας
- πλήρης
- συστατικό
- συμβιβασμός
- Συμβιβασμένος
- συμβιβασμός
- Πιθανά ερωτήματα
- διαμόρφωση
- Connect
- συνδεδεμένος
- ΣΥΝΕΧΕΙΑ
- θα μπορούσε να
- Πελάτες
- Κυβερνασφάλεια
- ημέρα
- Άμυνα
- ορίζεται
- Πτυχίο
- Τμήμα
- Υπουργείο Άμυνας
- Υπουργείο Εσωτερικής Ασφάλειας
- συσκευή
- Συσκευές
- κατεύθυνση
- ανάπηρος
- αποκάλυψη
- αποσυνδεθεί
- do
- τομέα
- διπλασιαστεί
- κατεβάσετε
- Νωρίς
- ed
- επείγον
- ενεργοποιήσετε
- ενεργοποίηση
- ενέργεια
- Εταιρεία
- οντότητες
- περιβάλλοντα
- πάντα
- ανταλλαγή
- εκτελεστικός
- εξηγώντας
- Εκμεταλλεύομαι
- εκμετάλλευση
- Κακοποιημένα
- εκμετάλλευση
- εξαγωγή
- εκτεθειμένος
- εργοστάσιο
- Φεβρουάριος
- Φεβρουάριος
- Ομοσπονδιακός
- Αρχεία
- Όνομα
- ελάττωμα
- ελαττώματα
- Εξής
- Για
- πλαστογραφία
- Παρασκευή
- από
- περαιτέρω
- μελλοντικός
- πύλη
- δεδομένου
- μεγαλύτερη
- υποθέτω
- Έχω
- πατρίδα
- Εσωτερικής Ασφάλειας
- ΩΡΕΣ
- Πως
- Πώς να
- HTTPS
- ICON
- Ταυτότητα
- διαχείριση ταυτότητας
- if
- αμέσως
- in
- περιλαμβάνει
- δείκτες
- Υποδομή
- οδηγίες
- εσωτερικός
- Internet
- IT
- ΤΟΥ
- Ιανουάριος
- jpg
- μόλις
- πλήκτρα
- γνωστός
- Επίθετο
- αργότερα
- ελάχιστα
- αριστερά
- Πιθανός
- Λιστα
- Εισηγμένες
- τοπικός
- κοιτάζοντας
- διαχείριση
- Μάρτιος
- Μάρτιος 1
- Μάζα
- Ενδέχεται..
- μέσα
- μείωση
- Παρακολούθηση
- πολλαπλούς
- πρέπει
- Ανάγκη
- που απαιτούνται
- δίκτυο
- δίκτυα
- επόμενη
- nist
- Όχι.
- Ειδοποίηση..
- αριθμοί
- συνέβη
- of
- Office
- επίσημος ανώτερος υπάλληλος
- on
- ONE
- επάνω σε
- or
- τάξη
- παραγγελιών
- επιχειρήσεις
- ΑΛΛΑ
- έξω
- επί
- μέρος
- Κωδικός Πρόσβασης
- επαναφορά κωδικού πρόσβασης
- Κωδικοί πρόσβασης
- Patch
- Εκτελέστε
- Προσωπικό
- Φυσικώς
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- πολιτική
- Πύλη
- δυνατός
- δυναμικού
- ενδεχομένως
- πρόληψη
- Δώστε προτεραιότητα
- ιδιωτικός
- Προϊόντα
- προστασία
- παρέχουν
- παρέχεται
- σκοπός
- λόγος
- πρόσφατος
- πρόσφατα
- συνιστάται
- συνιστώντας
- επανασύνδεση
- αφαιρέστε
- αντικαθιστώ
- αναφέρουν
- ζητήσει
- απαιτείται
- ερευνητής
- ερευνητές
- Υποστηρικτικό υλικό
- δεξιά
- περίπου
- τρέξιμο
- s
- Ασφαλέστερο
- Είπε
- ίδιο
- λένε
- scott
- προστατευμένο περιβάλλον
- Χρεόγραφα
- Securities and Exchange Commission
- ασφάλεια
- διακομιστής
- υπηρεσία
- Υπηρεσίες
- ρυθμίσεις
- κέλυφος
- θα πρέπει να
- αφού
- So
- λογισμικό
- λύση
- σύντομα
- ΧΟΡΗΓΟΥΜΕΝΟΙ
- Κατάσταση
- Μελών
- Κατάσταση
- Βήμα
- Βήματα
- αποθηκεύονται
- δυνατά
- τέτοιος
- συστήματα
- λαμβάνεται
- λήψη
- στοχευμένες
- εργασίες
- Τεχνικός
- από
- ότι
- Η
- τους
- τότε
- Αυτοί
- αυτοί
- αυτό
- αυτή την εβδομάδα
- απειλή
- απειλή
- Μέσω
- εισιτήρια
- ώρα
- προς την
- κουπόνια
- προσπαθώντας
- Δυο φορές
- δύο
- Ενωμένος
- United States
- πρωτοφανής
- αναβάθμισης
- αναβαθμιστεί
- χρήση
- μεταχειρισμένος
- Χρήστες
- εκδόσεις
- VPN
- Θέματα ευπάθειας
- ευπάθεια
- ήταν
- we
- ιστός
- εβδομάδα
- ΛΟΙΠΌΝ
- ήταν
- Τι
- Ποιό
- WHY
- Άγριος
- θα
- με
- χωρίς
- Έγραψε
- ακόμη
- Σας
- zephyrnet
- μηδέν
- Ημέρα μηδέν