CISA ordonne la déconnexion des appliances Ivanti VPN : que faire

L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a donné 48 heures aux agences du pouvoir exécutif civil fédéral pour retirer tous les appareils Ivanti utilisés sur les réseaux fédéraux, craignant que plusieurs acteurs malveillants exploitent activement plusieurs failles de sécurité dans ces systèmes. L'ordonnance fait partie de l'instruction supplémentaire accompagnant la directive d'urgence de la semaine dernière (ED 24-01).

Les chercheurs en sécurité affirment que des cyberattaquants soutenus par l'État chinois, connus sous le nom d'UNC5221, ont exploité au moins deux vulnérabilités, à la fois en tant que jour zéro et depuis leur divulgation début janvier : un contournement d'authentification (CVE-2023-46895) et une injection de commande (CVE-2024-21887) faille — dans Ivanti Connect Secure. De plus, Ivanti a déclaré cette semaine qu'une falsification de requête côté serveur (CVE-2024-21893) a déjà été utilisée dans des attaques « ciblées » comme un jour zéro, et a révélé une vulnérabilité d'élévation de privilèges dans le composant Web d'Ivanti Connect Secure et Ivanti Policy Secure (CVE-2024-21888) qui n'a pas encore été observé lors d'attaques en milieu sauvage.

« Les agences exécutant les produits Ivanti Connect Secure ou Ivanti Policy Secure concernés doivent effectuer immédiatement les tâches suivantes : Dès que possible et au plus tard à 11 h 59 le vendredi 2 février 2024, déconnectez toutes les instances d'Ivanti Connect Secure et d'Ivanti Policy Secure. produits de solutions issus des réseaux d’agences », CISA a écrit dans sa direction supplémentaire.

La directive du CISA s'applique aux 102 agences répertoriées comme «agences fédérales civiles du pouvoir exécutif», une liste qui comprend le Département de la Sécurité intérieure, le Département de l'Énergie, le Département d'État, le Bureau de gestion du personnel et la Securities and Exchange Commission (mais pas le Département de la Défense).

Il est fortement recommandé aux entités privées disposant d'appliances Ivanti dans leurs environnements de prendre en priorité ces mêmes mesures pour protéger leurs réseaux contre une exploitation potentielle.

Cyber-risque Ivanti VPN : supprimez tout

L’instruction de déconnecter, et non de corriger, les produits avec un préavis d’environ 48 heures « est sans précédent ». Scott Piper, célèbre chercheur en sécurité cloud. Étant donné que les appliances Ivanti relient le réseau de l'organisation à l'Internet plus large, la compromission de ces boîtiers signifie que les attaquants peuvent potentiellement accéder aux comptes de domaine, aux systèmes cloud et à d'autres ressources connectées. Les récents avertissements de Mandiant et Volexity selon lesquels plusieurs acteurs de la menace sont exploiter les failles des nombres de masse C'est probablement la raison pour laquelle CISA insiste pour déconnecter physiquement les appareils immédiatement.

CISA a fourni des instructions sur la recherche d'indicateurs de compromission (IoC), ainsi que sur la manière de tout reconnecter aux réseaux une fois les appareils reconstruits. La CISA a également déclaré qu'elle fournirait une assistance technique aux agences dépourvues de capacités internes pour mener à bien ces actions.

Les agences ont pour instruction de poursuivre leurs activités de chasse aux menaces sur les systèmes qui étaient connectés ou récemment connectés aux appliances, ainsi que d'isoler les systèmes des ressources de l'entreprise « dans la plus grande mesure possible ». Ils doivent également surveiller tous les services d’authentification ou de gestion des identités qui auraient pu être exposés et auditer les comptes d’accès au niveau de privilège.

Comment reconnecter les appareils

Les appliances Ivanti ne peuvent pas simplement être reconnectées au réseau, mais doivent être reconstruites et mises à niveau pour supprimer les vulnérabilités et tout ce que les attaquants ont pu laisser derrière eux.

« Si une exploitation a eu lieu, nous pensons qu'il est probable que l'acteur malveillant ait exporté vos configurations en cours d'exécution avec les certificats privés chargés sur la passerelle au moment de l'exploitation, et ait laissé derrière lui un fichier shell Web permettant un accès futur par porte dérobée », Ivanti écrit dans un article de la base de connaissances expliquant comment reconstruire l'appliance. "Nous pensons que le but de ce shell Web est de fournir une porte dérobée à la passerelle une fois la vulnérabilité atténuée. C'est pourquoi nous recommandons aux clients de révoquer et de remplacer les certificats pour empêcher toute exploitation ultérieure après l'atténuation."

L’hypothèse étant que les appliances ont été compromises, l’étape suivante consiste à révoquer et réémettre tous les certificats, clés et mots de passe connectés ou exposés. Cela inclut la réinitialisation du mot de passe d'activation de l'administrateur, des clés API stockées et du mot de passe de tout utilisateur local défini sur la passerelle, tel que les comptes de service utilisés pour la configuration du serveur d'authentification.

Les agences doivent signaler à la CISA l'état de ces démarches avant le 5 février à 11 h 59 HNE.

Assumer un compromis

Il est plus sûr de supposer que tous les services et comptes de domaine connectés aux appliances ont été compromis et d'agir en conséquence, plutôt que d'essayer de deviner quels systèmes ont pu être ciblés. Ainsi, les agences doivent réinitialiser les mots de passe deux fois (double réinitialisation du mot de passe) pour les comptes sur site, révoquer les tickets Kerberos et révoquer les jetons pour les comptes cloud. Les appareils rejoints/enregistrés dans le cloud devaient être désactivés afin de révoquer les jetons de l'appareil.

Les agences sont tenues de signaler leur statut à toutes les étapes avant le 1er mars à 11 h 59 HNE.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/vulnerabilities-threats/cisa-orders-disconnecting-ivanti-vpn-appliances-what-to-do