CISA Memerintahkan Peralatan Ivanti VPN Terputus: Apa yang Harus Dilakukan

Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) telah memberikan waktu 48 jam kepada lembaga Cabang Eksekutif Sipil Federal untuk menghapus semua peralatan Ivanti yang digunakan di jaringan federal, karena kekhawatiran bahwa banyak pelaku ancaman secara aktif mengeksploitasi berbagai kelemahan keamanan dalam sistem ini. Perintah tersebut merupakan bagian dari arahan tambahan yang menyertai arahan darurat minggu lalu (ED 24-01).

Peneliti keamanan mengatakan penyerang siber yang didukung negara Tiongkok yang dikenal sebagai UNC5221 telah mengeksploitasi setidaknya dua kerentanan baik sebagai zero-day maupun sejak pengungkapannya pada awal Januari – sebuah bypass otentikasi (CVE-2023-46895) dan injeksi perintah (CVE-2024-21887) cacat — di Ivanti Connect Secure. Selain itu, Ivanti mengatakan minggu ini bahwa pemalsuan permintaan sisi server (CVE-2024-21893) cacat telah digunakan dalam serangan “bertarget” sebagai zero day, dan mengungkapkan kerentanan peningkatan hak istimewa dalam komponen Web Ivanti Connect Secure dan Ivanti Policy Secure (CVE-2024-21888) yang belum teramati pada serangan di alam liar.

“Lembaga yang menjalankan produk Ivanti Connect Secure atau Ivanti Policy Secure yang terkena dampak diharuskan untuk segera melakukan tugas berikut: Sesegera mungkin dan selambat-lambatnya pukul 11:59 pada hari Jumat tanggal 2 Februari 2024, putuskan sambungan semua instance Ivanti Connect Secure dan Ivanti Policy Secure produk solusi dari jaringan agensi,” CISA menulis dalam arahan tambahannya.

Arahan CISA berlaku untuk 102 lembaga yang terdaftar sebagai “lembaga cabang eksekutif sipil federal,” sebuah daftar yang mencakup Departemen Keamanan Dalam Negeri, Departemen Energi, Departemen Luar Negeri, Kantor Manajemen Personalia, dan Komisi Sekuritas dan Bursa (tetapi bukan Departemen Pertahanan).

Entitas swasta yang memiliki peralatan Ivanti di lingkungannya sangat disarankan untuk memprioritaskan mengambil langkah-langkah yang sama untuk melindungi jaringan mereka dari potensi eksploitasi.

Risiko Siber Ivanti VPN: Hancurkan Semuanya

Instruksi untuk memutuskan sambungan, bukan menambal, produk dengan pemberitahuan sekitar 48 jam “belum pernah terjadi sebelumnya,” kata peneliti keamanan cloud, Scott Piper. Karena peralatan Ivanti menjembatani jaringan organisasi ke Internet yang lebih luas, dengan menyusupi kotak-kotak ini berarti penyerang berpotensi mengakses akun domain, sistem cloud, dan sumber daya lain yang terhubung. Peringatan baru-baru ini dari Mandiant dan Volexity bahwa ada banyak pelaku ancaman mengeksploitasi kelemahan dalam jumlah massal kemungkinan besar itulah sebabnya CISA bersikeras untuk segera memutuskan sambungan peralatan secara fisik.

CISA memberikan instruksi untuk mencari indikator kompromi (IoC), serta cara menyambungkan kembali semuanya ke jaringan setelah peralatan dibangun kembali. CISA juga mengatakan akan memberikan bantuan teknis kepada lembaga-lembaga yang tidak memiliki kemampuan internal untuk melaksanakan tindakan tersebut.

Lembaga-lembaga diinstruksikan untuk melanjutkan aktivitas perburuan ancaman pada sistem yang terhubung, atau baru-baru ini terhubung, ke peralatan, serta mengisolasi sistem dari sumber daya perusahaan “semaksimal mungkin.” Mereka juga harus memantau layanan autentikasi atau manajemen identitas apa pun yang mungkin terekspos dan mengaudit akun akses tingkat hak istimewa.

Cara Menyambungkan Kembali Peralatan

Peralatan Ivanti tidak bisa begitu saja disambungkan kembali ke jaringan, namun perlu dibangun kembali dan ditingkatkan untuk menghilangkan kerentanan dan apa pun yang mungkin ditinggalkan oleh penyerang.

“Jika eksploitasi telah terjadi, kami yakin kemungkinan besar pelaku ancaman telah mengekspor konfigurasi Anda yang sedang berjalan dengan sertifikat pribadi yang dimuat di gateway pada saat eksploitasi, dan meninggalkan file shell Web yang memungkinkan akses pintu belakang di masa mendatang,” Ivanti menulis dalam a artikel basis pengetahuan yang menjelaskan cara membangun kembali peralatan. “Kami percaya tujuan dari shell Web ini adalah untuk menyediakan pintu belakang ke gateway setelah kerentanan diatasi, oleh karena itu kami merekomendasikan pelanggan untuk mencabut dan mengganti sertifikat untuk mencegah eksploitasi lebih lanjut setelah mitigasi.”

Asumsinya adalah peralatan telah disusupi, sehingga langkah berikutnya adalah mencabut dan menerbitkan kembali semua sertifikat, kunci, dan kata sandi yang terhubung atau terbuka. Hal ini termasuk mengatur ulang kata sandi pengaktifan admin, kunci API yang disimpan, dan kata sandi pengguna lokal mana pun yang ditentukan di gateway, seperti akun layanan yang digunakan untuk konfigurasi server autentikasi.

Agensi harus melaporkan kepada CISA status langkah-langkah ini paling lambat tanggal 5 Februari, 11:59 EST.

Asumsikan Kompromi

Lebih aman untuk berasumsi bahwa semua layanan dan akun domain yang terhubung ke peralatan telah disusupi dan mengambil tindakan yang sesuai, daripada mencoba menebak sistem mana yang mungkin menjadi sasaran. Oleh karena itu, lembaga harus mengatur ulang kata sandi dua kali (reset kata sandi ganda) untuk akun lokal, mencabut tiket Kerberos, dan mencabut token untuk akun cloud. Perangkat yang bergabung/terdaftar di cloud harus dinonaktifkan untuk mencabut token perangkat.

Agensi diharuskan melaporkan status mereka di semua langkah paling lambat tanggal 1 Maret, pukul 11 EST.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/vulnerabilities-threats/cisa-orders-disconnecting-ivanti-vpn-appliances-what-to-do