CISA는 노출된 정부 장치를 14일 안에 복구하기를 원합니다.

연구원들은 개방형 웹에서 원격 관리 인터페이스를 노출하는 정부 네트워크에서 실행되는 수백 개의 장치를 발견했습니다. 일부 전문가에 따르면 CISA(Cybersecurity and Infrastructure Security Agency) 덕분에 상황이 빠르게 변할 것입니다. 너무 빨리 변할 수도 있습니다.

13월 XNUMX일 CISA에서 발표한 구속력 있는 운영 지침(BOD) 23-02, FCEB(Federal Civilian Executive Branch) 기관 네트워크의 에지 장치에서 실행되는 인터넷 노출 관리 인터페이스를 제거하는 것을 목표로 합니다. 발표는 얼마 지나지 않아 볼트 타이푼에 대한 CISA의 권고, Fortinet FortiGuard 장치를 활용한 중국 국가 지원 APT(Advanced Persistent Threat) 미국 정부 기관에 대한 스파이 활동.

BOD 23-02가 얼마나 중요한지 측정하려면 Censys의 연구원들이 인터넷을 스캔했습니다. 관리 인터페이스를 노출하는 장치의 경우 연방 민간 행정부 (FCEB) 대행사. 스캔 결과 거의 250개의 적격 장치와 BOD 23-02의 범위를 벗어난 기타 여러 네트워크 취약점이 드러났습니다. 

Censys의 보안 연구원인 Himaja Motheram은 “이 수준의 노출이 당장의 패닉을 보장하지는 않지만 여전히 걱정스러운 것은 빙산의 일각에 불과할 수 있기 때문입니다. "이러한 기본 위생이 충족되지 않으면 더 깊고 중요한 보안 문제가 발생할 수 있음을 시사합니다."

노출된 FCEB 조직의 상태

BOD 23-02에 해당하는 장치에는 인터넷에 노출된 라우터, 스위치, 방화벽, VPN 집중 장치, 프록시, 로드 밸런서, 대역 외 서버 관리 인터페이스 및 "관리 인터페이스가 원격 관리를 위해 네트워크 프로토콜을 사용하는 기타"가 포함됩니다. 공용 인터넷을 통해”라고 CISA는 설명했습니다. HTTP, FTP SMB 등과 같은 프로토콜입니다.

Censys 연구원은 다양한 Cisco 장치 노출을 포함하여 수백 개의 그러한 장치를 발견했습니다. 적응형 보안 장치 관리자 인터페이스, Cradlepoint 라우터 인터페이스 및 Fortinet의 인기 있는 방화벽 제품 및 소닉월. 그들은 또한 FCEB 관련 호스트에서 실행되는 노출된 원격 액세스 프로토콜의 인스턴스를 15개 이상 발견했습니다.

검색이 너무 많아 BOD 23-02의 범위를 넘어서는 많은 연방 네트워크 취약점을 발견했습니다. GoAnywhere MFT와 같은 노출된 파일 전송 도구 및 이동, 노출된 Barracuda 이메일 보안 게이트웨이, 그리고 소멸된 소프트웨어의 다양한 인스턴스.

조직은 노출 수준을 모르거나 노출의 의미를 이해하지 못하는 경우가 많습니다. Motheram은 보호되지 않은 장비는 모두 찾기가 매우 쉽다고 강조합니다. "그리고 우리가 발견한 사소한 것은 솔직히 아마추어 위협 행위자에게는 훨씬 더 사소한 것입니다."

에지 장치가 노출되는 방법

그렇게 많은 장치가 면밀히 조사되는 정부 네트워크에 노출되는 이유는 무엇입니까?

Intrusion의 CTO인 Joe Head는 "관리자의 편의성, 운영 보안 인식 부족, 적에 대한 존중 부족, 기본 또는 알려진 암호 사용, 가시성 부족"을 비롯한 여러 가지 이유를 지적합니다.

Tanium의 엔드포인트 보안 책임자인 James Cochran은 "인력 부족으로 인해 IT 팀이 과로하게 되어 네트워크 관리를 더 쉽게 할 수 있는 지름길을 택할 수 있습니다."라고 덧붙였습니다.

또한 문제를 더욱 악화시킬 수 있는 정부 고유의 덫을 생각해 보십시오. Cochran은 "잠재적인 위협에 대한 감독과 우려가 거의 없는 상태에서 장치가 '미션 크리티컬'한 것처럼 위장하여 네트워크에 추가될 수 있으며, 이로 인해 모든 조사에서 면책됩니다."라고 Cochran은 한탄합니다. 또한 에이전시는 네트워크 및 보안 통합에 차이가 있는 경우 병합하거나 확장할 수 있습니다. "시간이 지남에 따라 전체 네트워크는 매드 맥스 영화에 나오는 것과 비슷해지기 시작합니다. 여기서 임의의 항목이 결합되고 이유를 알 수 없습니다."

BOD 23-02가 상황을 반전시킬 것인가?

지침에서 CISA는 적격 장치를 스캔하고 책임이 있는 기관에 알릴 것이라고 밝혔습니다. 통지를 받은 기관은 단 14일 이내에 이러한 장치를 웹에서 연결 해제하거나 "인터페이스 자체와는 별개의 정책 시행 지점을 통해 인터페이스에 대한 액세스 제어를 시행하는 제로 트러스트 아키텍처의 일부로 기능을 배포"해야 합니다. .”

이 XNUMX주 동안 관련 기관은 시스템 보안을 위해 신속하게 조치를 취해야 합니다. 그러나 그것은 어려울 수 있다고 Motheram은 인정합니다. “이론적으로는 인터넷에 노출된 기기를 제거하는 것이 간단해야 하지만 항상 그런 것은 아닙니다. 마찰을 더하는 액세스 정책을 변경할 때 처리해야 할 관료주의가 있을 수 있습니다.”라고 그녀는 설명합니다.

다른 사람들은 부담이 과도하다고 생각합니다. Cochran은 "이것은 책임 있는 일정이 아닙니다."라고 말합니다. “문제가 너무 광범위하기 때문에 식별된 기관에 상당한 영향이 있을 것으로 예상합니다. 이것은 얽힌 전선을 톱질하여 풀려고 하는 것과 같습니다.”

다른 사람들은 CISA의 실용성 있는 접근 방식에 박수를 보냅니다. 헤드는 "절대 하지 말았어야 할 일을 중단하기 위한 타임라인을 제시하기 어렵다"며 14일은 기다리기에는 너무 길 수 있다고 주장했다. “관리자가 네트워크 변경 사항을 수정하는 작업을 수행하므로 XNUMX분이 더 적합합니다. 수년간 공용 인터넷에 관리 인터페이스를 노출하지 않는 것이 표준 관례였으므로 이를 의무화하는 것은 신중하고 합리적입니다.”

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/attacks-breaches/cisa-wants-exposed-government-devices-remediated-14-days