הסוכנות לאבטחת סייבר ותשתיות של ארצות הברית (CISA) העניקה לסוכנויות הפדרליות האזרחיות הפדרליות 48 שעות לקרוע את כל מכשירי Ivanti הנמצאים בשימוש ברשתות הפדרליות, בגלל חששות ש גורמי איומים מרובים מנצלים באופן פעיל מספר פגמי אבטחה במערכות אלו. הצו הוא חלק מההנחיות המשלימות הנלוות להוראת החירום מהשבוע שעבר (ED 24-01).
חוקרי אבטחה אומרים כי תוקפי סייבר בגיבוי מדינה סיניים הידועים בשם UNC5221 ניצלו לפחות שתי נקודות תורפה הן כאפס ימים והן מאז החשיפה בתחילת ינואר - מעקף אימות (CVE-2023-46895) והזרקת פקודה (CVE-2024-21887) פגם - ב-Ivanti Connect Secure. בנוסף, איבנטי אמר השבוע שזיוף בקשה בצד השרת (CVE-2024-21893) פגם כבר שימש בהתקפות "ממוקדות" בתור יום אפס, והוא חשף פגיעות של הסלמה של הרשאות ברכיב האינטרנט של Ivanti Connect Secure ו-Ivanti Policy Secure (CVE-2024-21888) שעדיין לא נצפה בהתקפות בטבע.
"סוכנויות המפעילות את מוצרי Ivanti Connect Secure או Ivanti Policy Secure נדרשות לבצע באופן מיידי את המשימות הבאות: בהקדם האפשרי ולא יאוחר משעה 11:59 ביום שישי 2 בפברואר 2024, נתק את כל המופעים של Ivanti Connect Secure ו-Ivanti Policy Secure מוצרי פתרון מרשתות סוכנויות", כתבה CISA בכיוון המשלים שלה.
ההנחיה של CISA חלה על 102 הסוכנויות הרשומות כ"סוכנויות הרשות הפדרליות האזרחיות," רשימה הכוללת את המחלקה לביטחון פנים, משרד האנרגיה, משרד החוץ, המשרד לניהול כוח אדם, ורשות ניירות ערך (אך לא את משרד ההגנה).
ישויות פרטיות עם מכשירי Ivanti בסביבותיהן מומלצות בחום לתעדף נקיטת צעדים אלה כדי להגן על הרשתות שלהם מפני ניצול פוטנציאלי.
Ivanti VPN סיכון סייבר: קרע הכל החוצה
ההוראה לנתק, לא לתקן, את המוצרים בהתראה של בערך 48 שעות בלבד "חסרת תקדים", ציין חוקר אבטחת הענן סקוט פייפר. מכיוון שמכשירי Ivanti מגשרים בין הרשת של הארגון לאינטרנט הרחב יותר, התפשרות על התיבות הללו פירושה שתוקפים יכולים לגשת לחשבונות דומיין, מערכות ענן ומשאבים מחוברים אחרים. האזהרות האחרונות מ-Mandiant ו-Volexity שגורמי איומים מרובים ניצול הפגמים במספרי ההמונים כנראה הסיבה לכך ש-CISA מתעקשת לנתק פיזית את המכשירים מיד.
CISA סיפקה הנחיות לחיפוש אינדיקטורים של פשרה (IoCs), כמו גם כיצד לחבר הכל מחדש לרשתות לאחר בנייה מחדש של המכשירים. CISA גם אמרה שהיא תספק סיוע טכני לסוכנויות ללא יכולות פנימיות לבצע את הפעולות הללו.
סוכנויות מקבלות הוראה להמשיך בפעילות ציד איומים על מערכות שהיו מחוברות, או חוברו לאחרונה, למכשירים, וכן לבודד את המערכות ממשאבי הארגון "במידה המרבית האפשרית". כמו כן, עליהם לפקח על כל שירותי אימות או ניהול זהויות שיכלו להיחשף ולבדוק חשבונות גישה ברמת ההרשאות.
כיצד לחבר מחדש מכשירים
אי אפשר פשוט לחבר מחדש את מכשירי האיבנטי לרשת, אלא צריך לבנות ולשדרג אותם כדי להסיר את הפגיעויות וכל מה שהתוקפים השאירו מאחור.
"אם התרחש ניצול, אנו מאמינים שסביר להניח ששחקן האיום ביצע ייצוא של התצורות הרצות שלך עם האישורים הפרטיים הטעונים על השער בזמן הניצול, והשאיר מאחוריו קובץ מעטפת אינטרנט המאפשר גישה עתידית בדלת אחורית", איבנטי כתב ב א מאמר מאגר ידע המסביר כיצד לבנות מחדש את המכשיר. "אנו מאמינים שמטרת מעטפת האינטרנט הזו היא לספק דלת אחורית לשער לאחר שהפגיעות תופחת, מסיבה זו אנו ממליצים ללקוחות לבטל ולהחליף אישורים כדי למנוע ניצול נוסף לאחר הפחתה."
-
סוכנויות מקבלות הוראה לייצא תחילה את הגדרות התצורה של המכשיר, לבצע איפוס להגדרות היצרן ולאחר מכן לבנות מחדש את המכשיר.
-
יש לשדרג את תוכנת המכשיר דרך פורטל ההורדות הרשמי לאחת מהגרסאות הבאות: 9.1R18.3, 22.4R2.2, 22.5R1.1, 9.1R14.4, או 9.1R17.2.
-
לאחר השלמת השדרוג, ניתן לייבא את הגדרות התצורה בחזרה למכשיר.
ההנחה היא שהמכשירים נפגעו, ולכן השלב הבא הוא לבטל ולהנפיק מחדש את כל האישורים, המפתחות והסיסמאות המחוברים או החשופים. זה כולל איפוס סיסמת הפעלת המנהל, מפתחות API מאוחסנים והסיסמה של כל משתמש מקומי המוגדר בשער, כגון חשבונות שירות המשמשים לתצורת שרת אישור.
סוכנויות חייבות לדווח ל-CISA על סטטוס הצעדים הללו עד 5 בפברואר, 11:59 EST.
נניח פשרה
בטוח יותר להניח שכל השירותים וחשבונות הדומיין המחוברים למכשירים נפגעו ולפעול בהתאם, מאשר לנסות לנחש אילו מערכות עשויות להיות ממוקדות. לפיכך, סוכנויות חייבות לאפס סיסמאות פעמיים (איפוס סיסמה כפול) עבור חשבונות מקומיים, לבטל כרטיסי Kerberos ולבטל אסימונים עבור חשבונות ענן. יש להשבית מכשירים שהצטרפו/רשומים בענן כדי לבטל את אסימוני המכשיר.
סוכנויות נדרשות לדווח על מצבן בכל השלבים עד ה-1 במרץ, 11:59 EST.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/vulnerabilities-threats/cisa-orders-disconnecting-ivanti-vpn-appliances-what-to-do
- :יש ל
- :הוא
- :לֹא
- 1
- 10
- 11
- 12
- 2024
- 22
- 7
- 8
- 9
- a
- גישה
- לפיכך
- חשבונות
- לרוחב
- לפעול
- פעולות
- באופן פעיל
- פעילויות
- שחקנים
- תוספת
- מנהל
- מושפע
- לאחר
- סוכנויות
- סוכנות
- תעשיות
- כְּבָר
- גם
- an
- ו
- תשתיות
- כל
- דבר
- API
- מפתחות API
- מכשירים
- חל
- ARE
- מאמר
- AS
- סיוע
- לְהַנִיחַ
- הנחה
- At
- המתקפות
- בדיקה
- תודה
- אימות
- רָחוֹק
- בחזרה
- דלת אחורית
- BE
- כי
- היה
- מאחור
- תאמינו
- שניהם
- תיבות
- סניף
- לְגַשֵׁר
- רחב
- אבל
- by
- לעקוף
- CAN
- לא יכול
- יכולות
- לשאת
- תעודות
- סינית
- מעגל
- אזרחי
- ענן
- אבטחת ענן
- עמלה
- להשלים
- רְכִיב
- פשרה
- התפשר
- מתפשר
- דאגות
- תְצוּרָה
- לְחַבֵּר
- מחובר
- להמשיך
- יכול
- לקוחות
- אבטחת סייבר
- יְוֹם
- גופי בטחון
- מוגדר
- תואר
- מַחלָקָה
- משרד ההגנה
- מחלקה לביטחון מולדת
- מכשיר
- התקנים
- כיוון
- נכה
- חשיפה
- מנותק
- do
- תחום
- לְהַכפִּיל
- להורדה
- מוקדם
- ed
- חירום
- לאפשר
- מה שמאפשר
- אנרגיה
- מִפְעָל
- ישויות
- סביבות
- הכל
- חליפין
- מנהלים
- המסביר
- לנצל
- ניצול
- ומנוצל
- מנצל
- יצוא
- חשוף
- מפעל
- פבואר
- פבואר
- פדרלי
- שלח
- ראשון
- פגם
- פגמים
- הבא
- בעד
- זיוף
- יום שישי
- החל מ-
- נוסף
- עתיד
- שער כניסה
- נתן
- הגדול ביותר
- לנחש
- יש
- מולדת
- הביטחון מולד
- שעות
- איך
- איך
- HTTPS
- ICON
- זהות
- ניהול זהות
- if
- מיד
- in
- כולל
- אינדיקטורים
- תשתית
- הוראות
- פנימי
- אינטרנט
- IT
- שֶׁלָה
- יָנוּאָר
- jpg
- רק
- מפתחות
- ידוע
- אחרון
- מאוחר יותר
- הכי פחות
- עזבו
- סביר
- רשימה
- ברשימה
- מקומי
- הסתכלות
- ניהול
- צעדה
- במרץ 1
- מסה
- מאי..
- אומר
- הֲקָלָה
- צג
- מספר
- צריך
- צורך
- נחוץ
- רשת
- רשתות
- הבא
- ניסט
- לא
- הודעה..
- מספרים
- התרחשה
- of
- Office
- רשמי
- on
- ONE
- עַל גַבֵּי
- or
- להזמין
- הזמנות
- ארגון
- אחר
- הַחוּצָה
- יותר
- חלק
- סיסמה
- איפוס סיסמא
- סיסמאות
- תיקון
- לְבַצֵעַ
- כוח אדם
- פיזית
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- מדיניות
- כניסה
- אפשרי
- פוטנציאל
- פוטנציאל
- למנוע
- תיעדוף
- פְּרָטִי
- מוצרים
- להגן
- לספק
- ובלבד
- מטרה
- טעם
- לאחרונה
- לאחרונה
- מוּמלָץ
- ממליץ
- מחדש
- להסיר
- להחליף
- לדווח
- לבקש
- נדרש
- חוקר
- חוקרים
- משאבים
- תקין
- בערך
- ריצה
- s
- בטוח יותר
- אמר
- אותו
- לומר
- סקוט
- לבטח
- ניירות ערך
- לניירות הערך
- אבטחה
- שרת
- שרות
- שירותים
- הגדרות
- פָּגָז
- צריך
- since
- So
- תוכנה
- פִּתָרוֹן
- בקרוב
- ממומן
- מדינה
- הברית
- מצב
- שלב
- צעדים
- מאוחסן
- בְּתוֹקֶף
- כזה
- מערכות
- משימות
- נטילת
- ממוקד
- משימות
- טכני
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- אז
- אלה
- הֵם
- זֶה
- השבוע
- איום
- איום שחקנים
- דרך
- כרטיסים
- זמן
- ל
- מטבעות
- מנסה
- פעמים
- שתיים
- מאוחד
- ארצות הברית
- חסר תקדים
- שדרוג
- משודרג
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- גירסאות
- VPN
- פגיעויות
- פגיעות
- היה
- we
- אינטרנט
- שבוע
- טוֹב
- היו
- מה
- אשר
- למה
- בר
- יצטרך
- עם
- לְלֹא
- כתב
- עוד
- זפירנט
- אפס
- יום אפס
