CISA tellib Ivanti VPN-seadmete ühenduse katkestamise: mida teha

Ameerika Ühendriikide küberjulgeoleku ja infrastruktuuri turbeagentuur (CISA) on andnud föderaalsetele tsiviiltäitevasutustele 48 tundi aega, et rebida välja kõik föderaalvõrkudes kasutatavad Ivanti seadmed, kuna on mures, et mitmed ohus osalejad kasutavad aktiivselt ära mitmeid turvavigu nendes süsteemides. Käskkiri on osa eelmise nädala hädaolukorra direktiiviga (ED 24-01) lisatud täiendavast juhisest.

Turvateadlaste sõnul on Hiina riigi toetatud küberründajad nimega UNC5221 ära kasutanud vähemalt kahte turvaauku nii nullpäevade ajal kui ka pärast avalikustamist jaanuari alguses – autentimisest möödasõitu (CVE-2023-46895) ja käsusüst (CVE-2024-21887) viga — Ivanti Connect Secure'is. Lisaks ütles Ivanti sel nädalal, et serveripoolne päringu võltsing (CVE-2024-21893) viga on "sihitud" rünnakutes juba nullpäevana kasutatud ja see paljastas Ivanti Connect Secure'i ja Ivanti Policy Secure'i veebikomponendis privileegide suurendamise haavatavuse (CVE-2024-21888), mida looduses rünnakutes veel ei täheldatud.

"Mõjutatud Ivanti Connect Secure'i või Ivanti Policy Secure'i tooteid töötavad agentuurid peavad viivitamatult täitma järgmised toimingud: Niipea kui võimalik ja hiljemalt reedel, 11. veebruaril 59 kell 2:2024 katkestage kõigi Ivanti Connect Secure'i ja Ivanti Policy Secure'i eksemplaride ühendus. lahendustooted agentuuride võrgustikest,” CISA kirjutas oma täiendavas suunas.

CISA direktiiv kehtib 102 agentuuri kohta, mis on loetletud kui "föderaalsed tsiviiltäitevorganid”, nimekiri, mis sisaldab sisejulgeolekuministeerium, energeetikaministeerium, välisministeerium, personalijuhtimise amet ning väärtpaberi- ja börsikomisjon (kuid mitte kaitseministeerium).

Eraettevõtetel, kelle keskkonnas on Ivanti seadmeid, soovitatakse tungivalt eelistada samu samme, et kaitsta oma võrke võimaliku ärakasutamise eest.

Ivanti VPN-i küberrisk: rebige see kõik välja

Juhend toodete lahtiühendamiseks, mitte lappimiseks, umbes 48-tunnise etteteatamisega, on enneolematu. märkis pilveturbe uurija Scott Piper. Kuna Ivanti seadmed ühendavad organisatsiooni võrgu laiema Internetti, siis nende kastide ohustamine tähendab, et ründajad pääsevad potentsiaalselt juurde domeenikontodele, pilvesüsteemidele ja muudele ühendatud ressurssidele. Mandiant ja Volexity hiljutised hoiatused, et ohus osalejaid on mitu massinumbrite puuduste ärakasutamine tõenäoliselt nõuab CISA seadmete kohest füüsilist lahtiühendamist.

CISA andis juhiseid kompromissi indikaatorite (IoC) otsimiseks ja ka selle kohta, kuidas kõik pärast seadmete ümberehitamist võrkudega uuesti ühendada. CISA teatas ka, et pakub tehnilist abi agentuuridele, kellel pole nende toimingute tegemiseks sisemisi võimeid.

Agentuure juhendatakse jätkama ohtude otsimist süsteemides, mis olid seadmetega ühendatud või hiljuti ühendatud, ning isoleerima süsteemid ettevõtte ressurssidest võimalikult suurel määral. Samuti peaksid nad jälgima kõiki autentimis- või identiteedihaldusteenuseid, mis võisid paljastada, ja auditeerima privileegide tasemel juurdepääsukontosid.

Kuidas seadmeid uuesti ühendada

Ivanti seadmeid ei saa lihtsalt võrguga uuesti ühendada, vaid need tuleb turvaaukude ja kõike, mida ründajad on maha jätnud, eemaldamiseks uuesti üles ehitada ja uuendada.

"Kui ärakasutamine on toimunud, usume tõenäoliselt, et ohus osaleja on eksportinud teie töötavad konfiguratsioonid privaatsete sertidega, mis olid ekspluateerimise ajal lüüsi laaditud, ja jätnud maha veebi shellfaili, mis võimaldab juurdepääsu tagauksele," Ivanti. kirjutas a teadmistebaasi artikkel, mis selgitab, kuidas seadet ümber ehitada. "Usume, et selle veebikesta eesmärk on pakkuda lüüsile tagauks pärast haavatavuse leevendamist, seetõttu soovitame klientidel sertifikaadid tühistada ja need asendada, et vältida edasist kasutamist pärast leevendusi."

Eelduseks on, et seadmed on ohustatud, seega tuleb järgmise sammuna tühistada ja uuesti väljastada kõik ühendatud või avalikustatud sertifikaadid, võtmed ja paroolid. See hõlmab administraatori lubamise parooli, salvestatud API-võtmete ja lüüsis määratletud mis tahes kohaliku kasutaja parooli lähtestamist (nt autentimisserveri konfigureerimiseks kasutatavad teenusekontod).

Agentuurid peavad CISA-le teatama nende sammude olekust 5. veebruariks kell 11:59 EST.

Eeldage kompromissi

Kindlam on eeldada, et kõik seadmetega ühendatud teenused ja domeenikontod on rikutud, ja tegutseda vastavalt, kui proovida arvata, millised süsteemid võisid olla sihitud. Sellisena peavad agentuurid kohapealsete kontode paroolid kaks korda lähtestama (topeltparooli lähtestamine), tühistama Kerberose piletid ja tühistama pilvekontode märgid. Pilvega ühendatud/registreeritud seadmed tuli seadme märkide tühistamiseks keelata.

Agentuurid peavad teavitama oma olekust kõigis etappides hiljemalt 1. märtsiks kell 11:59 EST.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/vulnerabilities-threats/cisa-orders-disconnecting-ivanti-vpn-appliances-what-to-do