सीआईएसए ने इवांती वीपीएन उपकरणों को डिस्कनेक्ट करने का आदेश दिया: क्या करें

सीआईएसए ने इवांती वीपीएन उपकरणों को डिस्कनेक्ट करने का आदेश दिया: क्या करें

समय टिकट: 1 फरवरी, 2024 अपराह्न 4:00 बजे
CISA Orders Ivanti VPN Appliances Disconnected: What to Do PlatoBlockchain Data Intelligence. Vertical Search. Ai.

यूनाइटेड स्टेट्स साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (सीआईएसए) ने संघीय नागरिक कार्यकारी शाखा एजेंसियों को संघीय नेटवर्क पर उपयोग में आने वाले सभी इवांती उपकरणों को नष्ट करने के लिए 48 घंटे का समय दिया है। कई खतरे वाले तत्व सक्रिय रूप से कई सुरक्षा खामियों का फायदा उठा रहे हैं इन प्रणालियों में. यह आदेश पिछले सप्ताह के आपातकालीन निर्देश (ईडी 24-01) के साथ जुड़े पूरक निर्देश का हिस्सा है।

सुरक्षा शोधकर्ताओं का कहना है कि UNC5221 के नाम से जाने जाने वाले चीनी राज्य समर्थित साइबर हमलावरों ने शून्य-दिन और जनवरी की शुरुआत में प्रकटीकरण के बाद से कम से कम दो कमजोरियों का फायदा उठाया है - एक प्रमाणीकरण बाईपास (CVE-2023-46895) और एक कमांड इंजेक्शन (CVE-2024-21887) दोष - इवंती कनेक्ट सिक्योर में। इसके अलावा, इवांती ने इस सप्ताह कहा कि सर्वर-साइड अनुरोध जालसाजी (CVE-2024-21893) दोष का उपयोग पहले से ही "लक्षित" हमलों में शून्य दिवस के रूप में किया जा चुका है, और इसने इवंती कनेक्ट सिक्योर और इवंती पॉलिसी सिक्योर के वेब घटक में विशेषाधिकार-वृद्धि भेद्यता का खुलासा किया है (CVE-2024-21888) जो अभी तक जंगली हमलों में नहीं देखा गया था।

“प्रभावित इवांती कनेक्ट सिक्योर या इवांति पॉलिसी सिक्योर उत्पादों को चलाने वाली एजेंसियों को तुरंत निम्नलिखित कार्य करने की आवश्यकता है: जितनी जल्दी हो सके और शुक्रवार 11 फरवरी, 59 को रात 2:2024 बजे से पहले, इवांति कनेक्ट सिक्योर और इवांति पॉलिसी सिक्योर के सभी उदाहरणों को डिस्कनेक्ट करें। एजेंसी नेटवर्क से समाधान उत्पाद," सीआईएसए ने अपनी पूरक दिशा में लिखा.

सीआईएसए का निर्देश "" के रूप में सूचीबद्ध 102 एजेंसियों पर लागू होता है।संघीय नागरिक कार्यकारी शाखा एजेंसियां, '' एक सूची जिसमें होमलैंड सुरक्षा विभाग, ऊर्जा विभाग, राज्य विभाग, कार्मिक प्रबंधन कार्यालय और प्रतिभूति और विनिमय आयोग (लेकिन रक्षा विभाग नहीं) शामिल हैं।

अपने परिवेश में इवंती उपकरणों वाली निजी संस्थाओं को अपने नेटवर्क को संभावित शोषण से बचाने के लिए यही कदम उठाने को प्राथमिकता देने की दृढ़ता से अनुशंसा की जाती है।

इवंती वीपीएन साइबर-रिस्क: रिप इट ऑल आउट

लगभग 48 घंटे के नोटिस पर उत्पादों को पैच नहीं, बल्कि डिस्कनेक्ट करने का निर्देश "अभूतपूर्व है" प्रसिद्ध क्लाउड सुरक्षा शोधकर्ता स्कॉट पाइपर. क्योंकि इवांती उपकरण संगठन के नेटवर्क को व्यापक इंटरनेट से जोड़ते हैं, इन बक्सों से समझौता करने का मतलब है कि हमलावर संभावित रूप से डोमेन खातों, क्लाउड सिस्टम और अन्य जुड़े संसाधनों तक पहुंच सकते हैं। मैंडिएंट और वोलेक्सिटी की हालिया चेतावनियाँ हैं कि कई ख़तरे वाले कलाकार हैं सामूहिक संख्या में खामियों का फायदा उठाना संभवतः इसीलिए सीआईएसए उपकरणों को तुरंत भौतिक रूप से डिस्कनेक्ट करने पर जोर दे रहा है।

सीआईएसए ने समझौते के संकेतकों (आईओसी) की तलाश के साथ-साथ उपकरणों के पुनर्निर्माण के बाद नेटवर्क से सभी चीजों को फिर से जोड़ने के निर्देश दिए। सीआईएसए ने यह भी कहा कि वह इन कार्यों को अंजाम देने के लिए आंतरिक क्षमताओं के बिना एजेंसियों को तकनीकी सहायता प्रदान करेगा।

एजेंसियों को निर्देश दिया जाता है कि वे उन सिस्टमों पर खतरे की तलाश की गतिविधियाँ जारी रखें जो उपकरणों से जुड़े थे, या हाल ही में जुड़े हुए हैं, साथ ही सिस्टम को उद्यम संसाधनों से "जितना संभव हो उतना अलग करें।" उन्हें किसी भी प्रमाणीकरण या पहचान प्रबंधन सेवाओं की भी निगरानी करनी चाहिए जो उजागर हो सकती हैं और विशेषाधिकार-स्तरीय पहुंच खातों का ऑडिट करना चाहिए।

उपकरणों को दोबारा कैसे कनेक्ट करें

इवंती उपकरणों को न केवल नेटवर्क से दोबारा जोड़ा जा सकता है, बल्कि कमजोरियों और हमलावरों द्वारा छोड़ी गई किसी भी चीज़ को दूर करने के लिए उन्हें फिर से बनाने और अपग्रेड करने की आवश्यकता है।

"यदि शोषण हुआ है, तो हमारा मानना ​​​​है कि यह संभव है कि खतरे वाले अभिनेता ने शोषण के समय गेटवे पर लोड किए गए निजी प्रमाणपत्रों के साथ आपके चल रहे कॉन्फ़िगरेशन का निर्यात ले लिया है, और पिछले दरवाजे से भविष्य की पहुंच को सक्षम करने के लिए एक वेब शेल फ़ाइल को पीछे छोड़ दिया है," इवांती ए में लिखा नॉलेजबेस लेख में बताया गया है कि उपकरण को फिर से कैसे बनाया जाए. "हमारा मानना ​​है कि इस वेब शेल का उद्देश्य भेद्यता कम होने के बाद गेटवे के लिए एक पिछला दरवाजा प्रदान करना है, इस कारण से हम ग्राहकों को शमन के बाद आगे के शोषण को रोकने के लिए प्रमाणपत्रों को रद्द करने और बदलने की सिफारिश कर रहे हैं।"

  • एजेंसियों को निर्देश दिया जाता है कि वे पहले उपकरण की कॉन्फ़िगरेशन सेटिंग्स निर्यात करें, फ़ैक्टरी रीसेट करें और फिर उपकरण का पुनर्निर्माण करें।

  • उपकरण के सॉफ़्टवेयर को आधिकारिक डाउनलोड पोर्टल के माध्यम से निम्नलिखित संस्करणों में से एक में अपग्रेड किया जाना चाहिए: 9.1R18.3, 22.4R2.2, 22.5R1.1, 9.1R14.4, या 9.1R17.2।

  • एक बार अपग्रेड पूरा हो जाने पर, कॉन्फ़िगरेशन सेटिंग्स को उपकरण पर वापस आयात किया जा सकता है।

धारणा यह है कि उपकरणों से छेड़छाड़ की गई है, इसलिए अगला कदम सभी जुड़े या उजागर प्रमाणपत्रों, चाबियों और पासवर्ड को रद्द करना और फिर से जारी करना है। इसमें एडमिन सक्षम पासवर्ड, संग्रहीत एपीआई कुंजी और गेटवे पर परिभाषित किसी भी स्थानीय उपयोगकर्ता के पासवर्ड को रीसेट करना शामिल है, जैसे कि ऑथ सर्वर कॉन्फ़िगरेशन के लिए उपयोग किए जाने वाले सेवा खाते।

एजेंसियों को 5 फरवरी, रात 11:59 बजे ईएसटी तक इन चरणों की स्थिति सीआईएसए को रिपोर्ट करनी होगी।

समझौता मान लें

यह मान लेना अधिक सुरक्षित है कि उपकरणों से जुड़ी सभी सेवाओं और डोमेन खातों से समझौता किया गया है और यह अनुमान लगाने की कोशिश करने की तुलना में कि कौन से सिस्टम को लक्षित किया गया है, तदनुसार कार्य करना सुरक्षित है। इस प्रकार, एजेंसियों को ऑन-प्रिमाइस खातों के लिए पासवर्ड दो बार रीसेट करना होगा (डबल पासवर्ड रीसेट), केर्बरोस टिकट रद्द करना होगा और क्लाउड खातों के लिए टोकन रद्द करना होगा। डिवाइस टोकन को रद्द करने के लिए क्लाउड से जुड़े/पंजीकृत डिवाइस को अक्षम करना आवश्यक है।

एजेंसियों को 1 मार्च, 11:59 अपराह्न ईएसटी तक सभी चरणों में अपनी स्थिति रिपोर्ट करनी होगी।

समय टिकट:

से अधिक डार्क रीडिंग