CISA が Ivanti VPN アプライアンスの切断を命令: 対処方法

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は、連邦ネットワークで使用されているすべての Ivanti アプライアンスを削除するために連邦文民行政府機関に 48 時間を与えました。 複数の攻撃者が複数のセキュリティ上の欠陥を積極的に悪用している これらのシステムでは。この命令は、先週の緊急指令（ED 24-01）に伴う補足指令の一部である。

セキュリティ研究者らは、UNC5221として知られる中国国家支援のサイバー攻撃者が、ゼロデイ攻撃とXNUMX月初旬の公開以来、少なくともXNUMXつの脆弱性（認証バイパス）を悪用したと述べている。CVE-2023-46895) とコマンドインジェクション (CVE-2024-21887) 欠陥 — Ivanti Connect Secure にあります。さらに、Ivanti は今週、サーバー側のリクエスト偽造 (CVE-2024-21893) この欠陥はすでにゼロデイ攻撃として「標的型」攻撃に使用されており、Ivanti Connect Secure および Ivanti Policy Secure (CVE-2024-21888）これは、実際の攻撃ではまだ観察されていません。

「影響を受ける Ivanti Connect Secure または Ivanti Policy Secure 製品を実行している代理店は、次のタスクを直ちに実行する必要があります。できるだけ早く、遅くとも 11 年 59 月 2 日金曜日の午後 2024 時 XNUMX 分までに、Ivanti Connect Secure および Ivanti Policy Secure のすべてのインスタンスを切断します。代理店ネットワークによるソリューション製品」 CISAは補足的な指示を書いた.

CISA の指令は、「」にリストされている 102 の政府機関に適用されます。連邦文民行政府機関このリストには、国土安全保障省、エネルギー省、国務省、人事管理局、証券取引委員会（国防総省は除く）が含まれています。

環境内に Ivanti アプライアンスを導入している民間企業は、潜在的な悪用からネットワークを保護するために、これらと同じ手順を優先的に実行することを強くお勧めします。

Ivanti VPN サイバー リスク: 全てを取り除く

わずか約 48 時間前の通知で製品にパッチを適用するのではなく接続を解除するという指示は「前例のないものです」 著名なクラウドセキュリティ研究者スコット・パイパー。 Ivanti アプライアンスは組織のネットワークをより広範なインターネットに橋渡しするため、これらのボックスを侵害すると、攻撃者がドメイン アカウント、クラウド システム、およびその他の接続されたリソースにアクセスできる可能性があります。 Mandiant と Volexity からの最近の警告では、複数の攻撃者が 質量数の欠陥を利用する CISA がアプライアンスを直ちに物理的に切断するよう主張しているのは、おそらくこのためです。

CISA は、侵害の痕跡 (IoC) を探す方法と、アプライアンスを再構築した後にすべてをネットワークに再接続する方法についての手順を提供しました。 CISAはまた、こうした措置を実行するための内部能力を持たない政府機関に対して技術支援を提供すると述べた。

政府機関は、アプライアンスに接続されていた、または最近接続されたシステムに対する脅威ハンティング活動を継続するとともに、システムをエンタープライズ リソースから「可能な限り」分離するよう指示されています。また、漏洩した可能性のある認証またはアイデンティティ管理サービスを監視し、特権レベルのアクセス アカウントを監査する必要もあります。

アプライアンスを再接続する方法

Ivanti アプライアンスは単にネットワークに再接続するだけではなく、脆弱性や攻撃者が残した可能性のあるものを除去するために再構築およびアップグレードする必要があります。

「悪用が発生した場合、攻撃者は、悪用時にゲートウェイに読み込まれたプライベート証明書を含む実行構成をエクスポートし、将来のバックドア アクセスを可能にする Web シェル ファイルを残した可能性が高いと考えられます。」と Ivanti 氏は述べています。に書いた アプライアンスの再構築方法を説明するナレッジベース記事。 「この Web シェルの目的は、脆弱性が軽減された後にゲートウェイにバックドアを提供することであると考えています。このため、弊社では、軽減後のさらなる悪用を防ぐために、お客様に証明書を取り消して置き換えることをお勧めしています。」

アプライアンスが侵害されていることが前提となっているため、次のステップでは、接続されている、または公開されているすべての証明書、キー、およびパスワードを取り消して再発行します。これには、管理者有効化パスワード、保存された API キー、および認証サーバー設定に使用されるサービス アカウントなど、ゲートウェイで定義されたローカル ユーザーのパスワードのリセットが含まれます。

政府機関は、東部標準時間5月11日午後59時XNUMX分までに、これらの手順の状況をCISAに報告する必要があります。

妥協を想定する

どのシステムが標的になっているのかを推測するよりも、アプライアンスに接続されているすべてのサービスとドメイン アカウントが侵害されていると想定し、それに応じて行動する方が安全です。そのため、代理店はオンプレミス アカウントのパスワードを 2 回リセットし (二重パスワード リセット)、Kerberos チケットを取り消し、クラウド アカウントのトークンを取り消す必要があります。デバイス トークンを取り消すには、クラウドに参加/登録されているデバイスを無効にする必要がありました。

政府機関は、東部標準時間の 1 月 11 日午後 59 時 XNUMX 分までに、すべてのステップにわたるステータスを報告する必要があります。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/vulnerabilities-threats/cisa-orders-disconnecting-ivanti-vpn-appliances-what-to-do