CISA tilasi Ivanti VPN -laitteet irti: mitä tehdä

Yhdysvaltain kyberturvallisuus- ja infrastruktuurin turvallisuusvirasto (CISA) on antanut liittovaltion siviilihallinnon virastoille 48 tuntia aikaa repiä kaikki liittovaltion verkoissa käytössä olevat Ivanti-laitteet, koska se on huolissaan useat uhkatoimijat käyttävät aktiivisesti hyväkseen useita tietoturvapuutteita näissä järjestelmissä. Määräys on osa viime viikon hätäohjeen (ED 24-01) mukana tullutta lisäohjetta.

Tietoturvatutkijat sanovat, että kiinalaiset valtion tukemat kyberhyökkääjät, jotka tunnetaan nimellä UNC5221, ovat käyttäneet hyväkseen ainakin kahta haavoittuvuutta sekä nollapäivinä että tammikuun alussa tapahtuneen julkistamisen jälkeen – todennuksen ohitusta (CVE-2023-46895) ja komentoinjektio (CVE-2024-21887) virhe — Ivanti Connect Securessa. Lisäksi Ivanti sanoi tällä viikolla, että palvelinpuolen pyyntöväärennös (CVE-2024-21893) -virhettä on jo käytetty "kohdistetuissa" hyökkäyksissä nollapäivänä, ja se paljasti etuoikeuksien eskaloinnin haavoittuvuuden Ivanti Connect Securen ja Ivanti Policy Securen verkkokomponentissa (CVE-2024-21888), jota ei vielä havaittu luonnonvaraisissa hyökkäyksissä.

"Toimijoiden, joihin Ivanti Connect Secure tai Ivanti Policy Secure -tuotteet vaikuttavat, on suoritettava välittömästi seuraavat tehtävät: Mahdollisimman pian ja viimeistään perjantaina 11. helmikuuta 59 klo 2 irrota kaikki Ivanti Connect Secure- ja Ivanti Policy Secure -esiintymät. ratkaisutuotteet toimistoverkostoista”, CISA kirjoitti täydentävästi.

CISA:n direktiivi koskee 102 virastoa, jotka on lueteltu "liittovaltion siviilitoimeenpanovirastot”, luettelo, joka sisältää Department of Homeland Securityn, Department of Energyn, Department of Staten, Office of Personnel Managementin ja Securities and Exchange Commissionin (mutta ei puolustusministeriön).

Yksityisten tahojen, joilla on Ivanti-laitteita ympäristöissään, suositellaan ensisijaisesti ottamaan nämä samat toimet suojellakseen verkkojaan mahdolliselta hyväksikäytöltä.

Ivanti VPN Cyber-Risk: Kopioi kaikki pois

Ohjeet tuotteiden katkaisemisesta, ei paikastamisesta vain noin 48 tunnin varoitusajalla "on ennennäkemätön", totesi pilviturvallisuuden tutkija Scott Piper. Koska Ivanti-laitteet yhdistävät organisaation verkon laajempaan Internetiin, näiden laatikoiden vaarantaminen tarkoittaa, että hyökkääjät voivat mahdollisesti käyttää verkkotunnustilejä, pilvijärjestelmiä ja muita yhdistettyjä resursseja. Mandiantin ja Volexityn äskettäiset varoitukset, että useat uhkatekijät ovat massalukujen puutteita hyödyntäen Todennäköisesti CISA vaatii laitteiden fyysistä irrottamista välittömästi.

CISA antoi ohjeita kompromissiindikaattoreiden (IoC) etsimiseen sekä siitä, kuinka kaikki kytketään uudelleen verkkoihin laitteiden uudelleenrakentamisen jälkeen. CISA ilmoitti myös tarjoavansa teknistä apua virastoille, joilla ei ole sisäisiä valmiuksia näiden toimien toteuttamiseen.

Virastoja kehotetaan jatkamaan uhkien etsintää järjestelmissä, jotka on liitetty tai äskettäin liitetty laitteisiin, sekä eristämään järjestelmät yrityksen resursseista "mahdollisimman suuressa määrin". Heidän tulee myös valvoa kaikkia todennus- tai identiteetinhallintapalveluita, jotka ovat saattaneet paljastua, ja tarkastaa käyttöoikeustason käyttötilejä.

Kuinka kytkeä laitteet uudelleen

Ivanti-laitteita ei voi vain yhdistää verkkoon, vaan ne on rakennettava uudelleen ja päivitettävä haavoittuvuuksien ja kaiken, mitä hyökkääjät ovat jättäneet jälkeensä, poistamiseksi.

"Jos hyväksikäyttöä on tapahtunut, uskomme olevan todennäköistä, että uhkatoimija on vienyt käynnissä olevat kokoonpanosi yksityisillä varmenteilla, jotka on ladattu yhdyskäytävään hyväksikäytön aikana, ja jättänyt taakseen Web-kuoritiedoston, joka mahdollistaa takaoven käytön tulevaisuudessa", Ivanti kirjoitti a tietokannan artikkeli, jossa kerrotaan, kuinka laite rakennetaan uudelleen. "Uskomme, että tämän Web-kuoren tarkoituksena on tarjota takaovi yhdyskäytävälle haavoittuvuuden lieventämisen jälkeen. Tästä syystä suosittelemme asiakkaita peruuttamaan ja vaihtamaan varmenteet, jotta estetään lisähyödyntäminen lieventämisen jälkeen."

Oletuksena on, että laitteet ovat vaarantuneet, joten seuraava vaihe on peruuttaa ja myöntää uudelleen kaikki liitetyt tai paljastuneet varmenteet, avaimet ja salasanat. Tämä sisältää järjestelmänvalvojan käyttöönoton salasanan, tallennettujen API-avainten ja minkä tahansa yhdyskäytävässä määritetyn paikallisen käyttäjän salasanan, kuten todennuspalvelimen määritykseen käytettyjen palvelutilien, nollauksen.

Toimistojen on ilmoitettava CISA:lle näiden vaiheiden tila 5. helmikuuta klo 11 EST mennessä.

Oletetaan kompromissi

On turvallisempaa olettaa, että kaikki laitteisiin liitetyt palvelut ja verkkotunnustilit ovat vaarantuneet, ja toimia sen mukaisesti, kuin yrittää arvata, mihin järjestelmiin on voitu joutua. Sellaisenaan virastojen on nollattava salasanat kahdesti (kaksinkertainen salasanan palautus) paikan päällä oleville tileille, peruutettava Kerberos-liput ja peruutettava tunnukset pilvitililtä. Pilviin liitetyt/rekisteröidyt laitteet oli poistettava käytöstä, jotta laitetunnukset voidaan peruuttaa.

Toimistojen on raportoitava tilansa kaikissa vaiheissa 1. maaliskuuta klo 11 EST mennessä.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/vulnerabilities-threats/cisa-orders-disconnecting-ivanti-vpn-appliances-what-to-do