CISA soovib, et avalikud valitsusseadmed parandataks 14 päevaga

Teadlased on avastanud sadu valitsusvõrkudes töötavaid seadmeid, mis avaldavad avatud veebis kaughaldusliideseid. Tänu küberturvalisuse ja infrastruktuuri turbeagentuurile (CISA) muutub see kiiresti - mõne eksperdi sõnul võib-olla liiga kiiresti.

13. juunil avaldas CISA Siduv tegevusdirektiiv (BOD) 23-02, mille eesmärk on kaotada Föderaalse tsiviiltäitevorgani (FCEB) asutuste võrkudes servaseadmetes töötavad Interneti-põhised haldusliidesed. Teade tuli varsti pärast seda CISA nõuanne Volt Typhooni kohta, Hiina riigi toetatud täiustatud püsiv oht (APT), mis kasutas Fortinet FortiGuardi seadmeid spionaažikampaaniad USA valitsusüksuste vastu.

Et hinnata, kui oluline oleks BHT 23-02, Censyse teadlased skaneerisid Internetti seadmete jaoks, mis paljastavad haldusliidesed föderaalne tsiviiltäitevvõim (FCEB) agentuurid. Skaneerimisel leiti ligi 250 kvalifitseeruvat seadet, aga ka mitmeid muid võrgu haavatavusi, mis ei kuulu BOD 23-02 kohaldamisalasse. 

"Kuigi selline kokkupuute tase ei õigusta ilmselt kohest paanikat, on see siiski murettekitav, sest see võib olla vaid jäämäe tipp," ütleb Censyse turvateadlane Himaja Motheram. "See viitab sellele, et kui sellist elementaarset hügieeni ei järgita, võivad tekkida sügavamad ja kriitilisemad turvaprobleemid."

Kui paljastatud on FCEB organisatsioonid

Seadmed, mis vastavad standardile BOD 23-02, hõlmavad Internetiga avatud ruuterid, kommutaatorid, tulemüürid, VPN-i kontsentraatorid, puhverserverid, koormuse tasakaalustajad, ribavälised serverihaldusliidesed ja kõik muud, „mille haldusliidesed kasutavad kaughalduseks võrguprotokolle. avaliku Interneti kaudu,” selgitas CISA – protokollid nagu HTTP, FTP SMB ja teised.

Censysi teadlased avastasid sadu selliseid seadmeid, sealhulgas erinevaid Cisco seadmeid Adaptive Security Device Manager liidesed, Cradlepointi ruuteri liidesed ja Fortineti populaarsed tulemüüritooted ja sonicwall. Samuti leidsid nad rohkem kui 15 paljastatud kaugjuurdepääsuprotokolli juhtumit, mis töötavad FCEB-ga seotud hostidel.

Otsingud olid nii rikkalikud, et nad avastasid isegi palju föderaalse võrgu turvaauke, mis ei kuulu BOD 23-02 ulatusse, sealhulgas paljastatud failiedastustööriistad nagu GoAnywhere MFT ja Liiguta seda, paljastatud Barracuda meiliturbeväravadja mitmesugused kadunud tarkvara eksemplarid.

Organisatsioonid ei tea sageli oma kokkupuute taset või ei mõista kokkupuute tagajärgi. Motheram rõhutab, et kaitsmata varustust oli üsna lihtne leida. "Ja see, mida meie jaoks oli triviaalne leida, on ausalt öeldes ilmselt veelgi triviaalsem amatöörohus tegutsejate jaoks."

Kuidas Edge-seadmed paljastatakse

Kuidas on võimalik, et muidu väga kontrollitud valitsusvõrkudes eksponeeritakse nii palju seadmeid?

Joe Head, sissetungimise tehnikadirektor, osutab paljudele põhjustele, sealhulgas "administraatori mugavus, operatiivturvateadlikkuse puudumine, vastaste austamise puudumine, vaike- või teadaolevate paroolide kasutamine ja nähtavuse puudumine."

Taniumi lõpp-punktide turvalisuse direktor James Cochran lisab, et "tööjõupuudus võib põhjustada ületöötanud IT-meeskondadel otseteid, et muuta võrgu haldamine lihtsamaks."

Mõelge ka valitsusele ainulaadsetele lõksudele, mis võivad probleemi veelgi hullemaks muuta. "Väikese järelevalve ja võimalike ohtude pärast muretsemisega saab seadmeid võrku lisada "missioonikriitiliste" varjus, mis vabastab need igasugusest kontrollist," kurdab Cochran. Agentuurid võivad ka ühineda või laieneda, kuna nende võrgu- ja turbeintegratsioonis on lünki. "Aja jooksul hakkavad üldised võrgud meenutama midagi Mad Maxi filmist, kus juhuslikud asjad on poltidega kokku pandud ja te pole kindel, miks."

Kas BOD 23-02 muudab asjad ümber?

CISA märkis oma käskkirjas, et alustab kvalifitseeruvate seadmete otsimist ja süüdlaste asutuste teavitamist. Teavitamise korral on rikkujatel asutustel vaid 14 päeva aega, et need seadmed veebist lahti ühendada või "juurutada null-usaldusarhitektuuri osana võimalused, mis jõustavad liidese juurdepääsu kontrolli liidesest endast eraldiseisva poliitika jõustamispunkti kaudu .”

See kahenädalane periood sunnib asjaomaseid asutusi oma süsteemide turvamiseks kiiresti tegutsema. Kuid see võib olla raske, tunnistab Motheram. "Teoorias peaks Internetist avatud seadmete eemaldamine olema lihtne, kuid see pole alati reaalsus. Hõõrdumist lisavate juurdepääsupoliitikate muutmisel võib tekkida mõningane bürokraatia,” selgitab ta.

Teised usuvad, et koorem on põhjendamatu. "See ei ole vastutustundlik ajakava, " ütleb Cochran. „Kuna probleem on nii laialt levinud, eeldan, et sellel on tuvastatud asutustele märkimisväärne mõju. See on sama, kui püüda hunnikut juhtmeid lahti harutada, saagides need läbi.

Teised kiidavad CISA mõttetut lähenemist. "Raske on välja mõelda ajakava, et lõpetada selle tegemine, mida poleks tohtinud kunagi teha," ütleb Head, väites, et 14 päeva võib ootamiseks olla liiga pikk. "Viis minutit oleks soovitavam, kuna juhid teevad paranduslikke võrgumuudatusi. Tavapraktika on olnud, et haldusliideseid ei avalikustata juba aastaid, nii et selle kohustuslikuks muutmine on mõistlik ja mõistlik.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
• Allikas: https://www.darkreading.com/attacks-breaches/cisa-wants-exposed-government-devices-remediated-14-days