米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は、連邦ネットワークで使用されているすべての Ivanti アプライアンスを削除するために連邦文民行政府機関に 48 時間を与えました。 複数の攻撃者が複数のセキュリティ上の欠陥を積極的に悪用している これらのシステムでは。この命令は、先週の緊急指令(ED 24-01)に伴う補足指令の一部である。
セキュリティ研究者らは、UNC5221として知られる中国国家支援のサイバー攻撃者が、ゼロデイ攻撃とXNUMX月初旬の公開以来、少なくともXNUMXつの脆弱性(認証バイパス)を悪用したと述べている。CVE-2023-46895) とコマンドインジェクション (CVE-2024-21887) 欠陥 — Ivanti Connect Secure にあります。さらに、Ivanti は今週、サーバー側のリクエスト偽造 (CVE-2024-21893) この欠陥はすでにゼロデイ攻撃として「標的型」攻撃に使用されており、Ivanti Connect Secure および Ivanti Policy Secure (CVE-2024-21888)これは、実際の攻撃ではまだ観察されていません。
「影響を受ける Ivanti Connect Secure または Ivanti Policy Secure 製品を実行している代理店は、次のタスクを直ちに実行する必要があります。できるだけ早く、遅くとも 11 年 59 月 2 日金曜日の午後 2024 時 XNUMX 分までに、Ivanti Connect Secure および Ivanti Policy Secure のすべてのインスタンスを切断します。代理店ネットワークによるソリューション製品」 CISAは補足的な指示を書いた.
CISA の指令は、「」にリストされている 102 の政府機関に適用されます。連邦文民行政府機関このリストには、国土安全保障省、エネルギー省、国務省、人事管理局、証券取引委員会(国防総省は除く)が含まれています。
環境内に Ivanti アプライアンスを導入している民間企業は、潜在的な悪用からネットワークを保護するために、これらと同じ手順を優先的に実行することを強くお勧めします。
Ivanti VPN サイバー リスク: 全てを取り除く
わずか約 48 時間前の通知で製品にパッチを適用するのではなく接続を解除するという指示は「前例のないものです」 著名なクラウドセキュリティ研究者スコット・パイパー。 Ivanti アプライアンスは組織のネットワークをより広範なインターネットに橋渡しするため、これらのボックスを侵害すると、攻撃者がドメイン アカウント、クラウド システム、およびその他の接続されたリソースにアクセスできる可能性があります。 Mandiant と Volexity からの最近の警告では、複数の攻撃者が 質量数の欠陥を利用する CISA がアプライアンスを直ちに物理的に切断するよう主張しているのは、おそらくこのためです。
CISA は、侵害の痕跡 (IoC) を探す方法と、アプライアンスを再構築した後にすべてをネットワークに再接続する方法についての手順を提供しました。 CISAはまた、こうした措置を実行するための内部能力を持たない政府機関に対して技術支援を提供すると述べた。
政府機関は、アプライアンスに接続されていた、または最近接続されたシステムに対する脅威ハンティング活動を継続するとともに、システムをエンタープライズ リソースから「可能な限り」分離するよう指示されています。また、漏洩した可能性のある認証またはアイデンティティ管理サービスを監視し、特権レベルのアクセス アカウントを監査する必要もあります。
アプライアンスを再接続する方法
Ivanti アプライアンスは単にネットワークに再接続するだけではなく、脆弱性や攻撃者が残した可能性のあるものを除去するために再構築およびアップグレードする必要があります。
「悪用が発生した場合、攻撃者は、悪用時にゲートウェイに読み込まれたプライベート証明書を含む実行構成をエクスポートし、将来のバックドア アクセスを可能にする Web シェル ファイルを残した可能性が高いと考えられます。」と Ivanti 氏は述べています。に書いた アプライアンスの再構築方法を説明するナレッジベース記事。 「この Web シェルの目的は、脆弱性が軽減された後にゲートウェイにバックドアを提供することであると考えています。このため、弊社では、軽減後のさらなる悪用を防ぐために、お客様に証明書を取り消して置き換えることをお勧めしています。」
-
代理店は、まずアプライアンスの構成設定をエクスポートし、出荷時設定にリセットしてから、アプライアンスを再構築するように指示されます。
-
アプライアンスのソフトウェアは、公式ダウンロード ポータルを通じて次のバージョンのいずれかにアップグレードする必要があります: 9.1R18.3、22.4R2.2、22.5R1.1、9.1R14.4、または 9.1R17.2。
-
アップグレードが完了すると、構成設定をアプライアンスにインポートして戻すことができます。
アプライアンスが侵害されていることが前提となっているため、次のステップでは、接続されている、または公開されているすべての証明書、キー、およびパスワードを取り消して再発行します。これには、管理者有効化パスワード、保存された API キー、および認証サーバー設定に使用されるサービス アカウントなど、ゲートウェイで定義されたローカル ユーザーのパスワードのリセットが含まれます。
政府機関は、東部標準時間5月11日午後59時XNUMX分までに、これらの手順の状況をCISAに報告する必要があります。
妥協を想定する
どのシステムが標的になっているのかを推測するよりも、アプライアンスに接続されているすべてのサービスとドメイン アカウントが侵害されていると想定し、それに応じて行動する方が安全です。そのため、代理店はオンプレミス アカウントのパスワードを 2 回リセットし (二重パスワード リセット)、Kerberos チケットを取り消し、クラウド アカウントのトークンを取り消す必要があります。デバイス トークンを取り消すには、クラウドに参加/登録されているデバイスを無効にする必要がありました。
政府機関は、東部標準時間の 1 月 11 日午後 59 時 XNUMX 分までに、すべてのステップにわたるステータスを報告する必要があります。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/vulnerabilities-threats/cisa-orders-disconnecting-ivanti-vpn-appliances-what-to-do
- :持っている
- :は
- :not
- 1
- 10
- 11
- 12
- 2024
- 22
- 7
- 8
- 9
- a
- アクセス
- それに応じて
- アカウント
- 越えて
- 行為
- 行動
- 積極的に
- 活動
- 俳優
- 添加
- 管理人
- 影響を受けました
- 後
- 機関
- 代理店
- すべて
- 既に
- また
- an
- および
- とインフラ
- どれか
- 何でも
- API
- APIキー
- 家電
- 適用
- です
- 記事
- AS
- 援助
- 引き受けます
- 仮定
- At
- 攻撃
- 監査
- 認証
- 認証
- 離れて
- バック
- 裏口
- BE
- なぜなら
- き
- 背後に
- 信じる
- 両言語で
- ボックス
- ブランチ
- BRIDGE
- より広い
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 缶
- 機能
- キャリー
- 証明書
- 中国語
- サークル
- 民間人
- クラウド
- クラウドセキュリティ
- 委員会
- コンプリート
- コンポーネント
- 妥協
- 損害を受けた
- 妥協する
- 懸念事項
- お問合せ
- 交流
- 続ける
- 可能性
- Customers
- サイバーセキュリティ
- 中
- 防衛
- 定義済みの
- 度
- 部門
- 防衛省
- 国土安全保障省
- デバイス
- Devices
- 方向
- 無効
- 開示
- 切断された
- do
- ドメイン
- ダウンロード
- 早い
- ed
- 緊急事態
- enable
- 有効にする
- エネルギー
- Enterprise
- エンティティ
- 環境
- すべてのもの
- 交換
- エグゼクティブ
- 説明
- 悪用する
- 搾取
- 搾取
- 悪用
- export
- 露出した
- 工場
- 2月
- 2月
- 連邦政府の
- File
- 名
- 欠陥
- 欠陥
- フォロー中
- 偽造
- 金曜日
- から
- さらに
- 未来
- ゲートウェイ
- 与えられた
- 最大
- 推測
- 持ってる
- 祖国
- セキュリティ
- HOURS
- 認定条件
- How To
- HTTPS
- ICON
- アイデンティティ
- アイデンティティ管理
- if
- 直ちに
- in
- 含ま
- インジケータ
- インフラ関連事業
- 説明書
- 内部
- インターネット
- IT
- ITS
- 1月
- JPG
- ただ
- キー
- 既知の
- 姓
- 後で
- 最低
- 左
- 可能性が高い
- リスト
- リストされた
- ローカル
- 探して
- 管理
- 3月
- 1月XNUMX日 XNUMX:XNUMX
- 質量
- 五月..
- 手段
- 緩和
- モニター
- の試合に
- しなければなりません
- 必要
- 必要とされる
- ネットワーク
- ネットワーク
- 次の
- ニスト
- いいえ
- 知らせ..
- 番号
- 発生した
- of
- Office
- 公式
- on
- ONE
- 〜に
- or
- 注文
- 受注
- 組織
- その他
- でる
- が
- 部
- パスワード
- パスワードのリセット
- パスワード
- パッチ
- 実行する
- Personnel
- 物理的に
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 方針
- ポータル
- 可能
- 潜在的な
- :
- 防ぐ
- 優先順位をつける
- プライベート
- 製品
- 守る
- 提供します
- 提供
- 目的
- 理由
- 最近
- 最近
- 推奨される
- 推薦する
- 再接続します
- 削除します
- replace
- レポート
- 要求
- の提出が必要です
- 研究者
- 研究者
- リソース
- 右
- 大体
- ランニング
- s
- より安全な
- 前記
- 同じ
- 言う
- スコット
- 安全に
- 有価証券
- 証券取引委員会
- セキュリティ
- サービス
- サービス
- 設定
- シェル(Shell)
- すべき
- から
- So
- ソフトウェア
- 溶液
- すぐに
- スポンサー
- 都道府県
- 米国
- Status:
- 手順
- ステップ
- 保存され
- 強く
- そのような
- システム
- 撮影
- 取得
- 対象となります
- タスク
- 技術的
- より
- それ
- アプリ環境に合わせて
- その後
- ボーマン
- 彼ら
- この
- 今週
- 脅威
- 脅威アクター
- 介して
- チケット
- 時間
- 〜へ
- トークン
- しよう
- Twice
- 2
- ユナイテッド
- 米国
- 前例のない
- アップグレード
- アップグレード
- つかいます
- 中古
- ユーザー
- バージョン
- VPN
- 脆弱性
- 脆弱性
- ました
- we
- ウェブ
- 週間
- WELL
- した
- この試験は
- which
- なぜ
- ワイルド
- 意志
- 無し
- 書いた
- まだ
- あなたの
- ゼファーネット
- ゼロ
- ゼロデイ