CISA Ingin Perangkat Pemerintah yang Terkena Diperbaiki dalam 14 Hari

Para peneliti telah menemukan ratusan perangkat yang berjalan di jaringan pemerintah yang menampilkan antarmuka manajemen jarak jauh di Web terbuka. Berkat Cybersecurity and Infrastructure Security Agency (CISA), hal itu akan berubah dengan cepat — mungkin terlalu cepat, menurut beberapa ahli.

Pada 13 Juni, CISA dirilis Petunjuk Operasional yang Mengikat (BOD) 23-02, dengan tujuan menghilangkan antarmuka manajemen yang terpapar Internet yang berjalan pada perangkat edge di jaringan agensi Federal Civilian Executive Branch (FCEB). Pengumuman itu datang segera setelah itu Penasihat CISA tentang Volt Typhoon, ancaman persisten canggih (APT) yang didukung negara China yang memanfaatkan perangkat Fortinet FortiGuard kampanye spionase terhadap entitas pemerintah AS.

Untuk mengukur seberapa signifikan BOD 23-02, peneliti di Censys memindai Internet untuk perangkat yang menampilkan antarmuka manajemen di cabang eksekutif sipil federal (FCEB) lembaga. Pemindaian mengungkapkan hampir 250 perangkat yang memenuhi syarat, serta sejumlah kerentanan jaringan lainnya di luar cakupan BOD 23-02. 

“Walaupun tingkat keterpaparan ini mungkin tidak memerlukan kepanikan langsung, ini tetap mengkhawatirkan, karena bisa jadi itu hanyalah puncak gunung es,” kata Himaja Motheram, peneliti keamanan Censys. “Ini menunjukkan bahwa mungkin ada masalah keamanan yang lebih dalam dan lebih kritis, jika kebersihan dasar semacam ini tidak terpenuhi.”

Seberapa Terekspos Organisasi FCEB

Perangkat yang memenuhi syarat di bawah BOD 23-02 termasuk router yang terpapar Internet, sakelar, firewall, konsentrator VPN, proksi, penyeimbang beban, antarmuka manajemen server out-of-band, dan lainnya “yang antarmuka manajemennya menggunakan protokol jaringan untuk manajemen jarak jauh melalui Internet publik,” jelas CISA — protokol seperti HTTP, FTP SMB, dan lainnya.

Peneliti Censys menemukan ratusan perangkat semacam itu, termasuk berbagai perangkat Cisco yang terbuka Antarmuka Pengelola Perangkat Keamanan Adaptif, antarmuka router Cradlepoint, dan produk firewall populer dari Fortinet dan sonicwall. Mereka juga menemukan lebih dari 15 contoh protokol akses jarak jauh terbuka yang berjalan di host terkait FCEB.

Pencarian itu sangat melimpah sehingga mereka bahkan menemukan banyak kerentanan jaringan federal di luar cakupan BOD 23-02, termasuk alat transfer file terbuka seperti GoAnywhere MFT dan Pindahkan, membuka gerbang keamanan email Barracuda, dan berbagai contoh perangkat lunak yang mati.

Organisasi seringkali tidak mengetahui tingkat keterpaparan mereka atau tidak memahami implikasi dari keterpaparan. Motheram menekankan bahwa peralatan yang tidak terlindungi cukup mudah ditemukan. “Dan apa yang sepele untuk kami temukan adalah, sejujurnya, mungkin bahkan lebih sepele bagi aktor ancaman amatir di luar sana.”

Bagaimana Perangkat Edge Terekspos

Bagaimana bisa begitu banyak perangkat diekspos pada jaringan pemerintah yang sangat diawasi?

Joe Head, CTO Intrusion, menunjukkan sejumlah alasan, termasuk "kenyamanan administrator, kurangnya kesadaran keamanan operasional, kurangnya rasa hormat terhadap musuh, penggunaan kata sandi standar atau yang diketahui, dan kurangnya visibilitas."

James Cochran, direktur keamanan titik akhir di Tanium, menambahkan bahwa “kekurangan staf dapat menyebabkan tim TI yang terlalu banyak bekerja mengambil jalan pintas sehingga mereka dapat mempermudah pengelolaan jaringan.”

Pertimbangkan juga, perangkap-perangkap yang unik bagi pemerintah yang dapat memperburuk masalah. “Dengan sedikit pengawasan dan kekhawatiran tentang potensi ancaman, perangkat dapat ditambahkan ke jaringan dengan kedok sebagai 'misi penting', yang membebaskan mereka dari semua pengawasan,” keluh Cochran. Agensi juga dapat menggabungkan atau memperluas, dengan kesenjangan dalam integrasi jaringan dan keamanan mereka. "Seiring waktu, keseluruhan jaringan mulai menyerupai sesuatu dari film Mad Max, di mana hal-hal acak disatukan dan Anda tidak yakin mengapa."

Akankah BOD 23-02 Membalikkan Keadaan?

Dalam arahannya, CISA mengindikasikan akan mulai memindai perangkat yang memenuhi syarat dan memberi tahu lembaga yang bersalah. Setelah pemberitahuan, agensi yang melanggar hanya memiliki waktu 14 hari untuk memutuskan sambungan perangkat ini dari Web, atau “menerapkan kemampuan, sebagai bagian dari arsitektur tanpa kepercayaan, yang menerapkan kontrol akses ke antarmuka melalui titik penegakan kebijakan yang terpisah dari antarmuka itu sendiri .”

Periode dua minggu itu akan memaksa lembaga terkait bertindak cepat untuk mengamankan sistem mereka. Tapi itu bisa sulit, Motheram mengakui. “Secara teori, menghapus perangkat yang terpapar dari Internet seharusnya sederhana, tetapi kenyataannya tidak selalu demikian. Mungkin ada beberapa birokrasi yang harus dihadapi ketika mengubah kebijakan akses yang menambah gesekan,” jelasnya.

Yang lain percaya bahwa beban itu tidak semestinya. “Ini bukan garis waktu yang bertanggung jawab,” kata Cochran. “Karena masalahnya begitu luas, saya perkirakan akan ada dampak yang signifikan terhadap lembaga yang teridentifikasi. Ini sama dengan mencoba mengurai sekumpulan kabel dengan menggergajinya.”

Yang lain memuji pendekatan tanpa basa-basi CISA. “Sulit untuk menentukan garis waktu untuk berhenti melakukan apa yang seharusnya tidak pernah dilakukan,” kata Head, dengan alasan bahwa 14 hari mungkin terlalu lama untuk menunggu. “Lima menit akan lebih disarankan karena manajer menugaskan perubahan jaringan korektif. Sudah menjadi praktik standar untuk tidak memaparkan antarmuka manajemen ke Internet publik selama bertahun-tahun, jadi membuatnya wajib adalah bijaksana dan masuk akal.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
• Sumber: https://www.darkreading.com/attacks-breaches/cisa-wants-exposed-government-devices-remediated-14-days