CISA bestelt Ivanti VPN-apparaten losgekoppeld: wat te doen

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft de Federal Civilian Executive Branch-agentschappen 48 uur de tijd gegeven om alle Ivanti-apparaten die op federale netwerken worden gebruikt eruit te halen, vanwege zorgen dat meerdere bedreigingsactoren maken actief misbruik van meerdere beveiligingsfouten in deze systemen. Het bevel maakt deel uit van de aanvullende richtlijn bij de noodrichtlijn van vorige week (ED 24-01).

Beveiligingsonderzoekers zeggen dat door de Chinese staat gesteunde cyberaanvallers, bekend als UNC5221, ten minste twee kwetsbaarheden hebben uitgebuit, zowel als zero-day als sinds de openbaarmaking begin januari – een authenticatie-bypass (CVE-2023-46895) en een commando-injectie (CVE-2024-21887) fout — in Ivanti Connect Secure. Bovendien zei Ivanti deze week dat een verzoekvervalsing aan de serverzijde (CVE-2024-21893)-fout is al gebruikt in “gerichte” aanvallen als een zero day, en onthulde een kwetsbaarheid voor escalatie van bevoegdheden in de webcomponent van Ivanti Connect Secure en Ivanti Policy Secure (CVE-2024-21888) die nog niet werd waargenomen bij aanvallen in het wild.

“Bureau's die getroffen Ivanti Connect Secure- of Ivanti Policy Secure-producten gebruiken, moeten onmiddellijk de volgende taken uitvoeren: Ontkoppel zo snel mogelijk en uiterlijk om 11:59 uur op vrijdag 2 februari 2024 alle exemplaren van Ivanti Connect Secure en Ivanti Policy Secure oplossingsproducten van bureaunetwerken,” CISA schreef in zijn aanvullende richting.

De richtlijn van de CISA is van toepassing op de 102 agentschappen die worden vermeld als “federale civiele uitvoerende agentschappen”, een lijst met het Department of Homeland Security, het Department of Energy, het Department of State, het Office of Personnel Management en de Securities and Exchange Commission (maar niet het ministerie van Defensie).

Particuliere entiteiten met Ivanti-apparaten in hun omgeving wordt ten zeerste aanbevolen om prioriteit te geven aan het nemen van dezelfde stappen om hun netwerken te beschermen tegen mogelijke exploitatie.

Ivanti VPN Cyberrisico: scheur het allemaal eruit

De instructie om de producten los te koppelen, en niet te patchen, met een opzegtermijn van slechts ongeveer 48 uur “is ongekend”, merkte cloud-beveiligingsonderzoeker Scott Piper op. Omdat Ivanti-apparaten een brug vormen tussen het netwerk van de organisatie en het bredere internet, betekent het compromitteren van deze boxen dat aanvallers mogelijk toegang kunnen krijgen tot domeinaccounts, cloudsystemen en andere verbonden bronnen. De recente waarschuwingen van Mandiant en Volexity dat er sprake is van meerdere bedreigingsactoren misbruik maken van de tekortkomingen in massaaantallen is waarschijnlijk de reden waarom CISA erop staat de apparaten meteen fysiek los te koppelen.

CISA gaf instructies voor het zoeken naar indicatoren van compromissen (IoC's) en voor het opnieuw verbinden van alles met de netwerken nadat de apparaten opnieuw zijn opgebouwd. CISA zei ook dat het technische bijstand zal verlenen aan agentschappen die geen interne capaciteit hebben om deze acties uit te voeren.

Instanties krijgen de opdracht om door te gaan met het opsporen van bedreigingen op systemen die verbonden waren of recentelijk verbonden waren met de apparaten, en om de systemen ‘in de grootst mogelijke mate’ te isoleren van bedrijfsbronnen. Ze moeten ook alle authenticatie- of identiteitsbeheerservices monitoren die mogelijk openbaar zijn gemaakt, en toegangsaccounts op privilegeniveau controleren.

Apparaten opnieuw aansluiten

De Ivanti-appliances kunnen niet zomaar opnieuw op het netwerk worden aangesloten, maar moeten opnieuw worden opgebouwd en geüpgraded om de kwetsbaarheden en alles wat aanvallers mogelijk hebben achtergelaten te verwijderen.

“Als er misbruik heeft plaatsgevonden, denken we dat het waarschijnlijk is dat de bedreigingsacteur een export heeft gemaakt van uw actieve configuraties met de privécertificaten die op de gateway waren geladen op het moment van de exploit, en een webshell-bestand heeft achtergelaten dat toekomstige toegang via de achterdeur mogelijk maakt”, zegt Ivanti. schreef in een kennisbankartikel waarin wordt uitgelegd hoe u het apparaat opnieuw kunt opbouwen. “Wij geloven dat het doel van deze webshell is om een ​​achterdeur naar de gateway te bieden nadat de kwetsbaarheid is verholpen. Om deze reden raden we klanten aan certificaten in te trekken en te vervangen om verdere exploitatie na mitigatie te voorkomen.”

De veronderstelling is dat de apparaten zijn gecompromitteerd, dus de volgende stap is het intrekken en opnieuw uitgeven van alle verbonden of blootgestelde certificaten, sleutels en wachtwoorden. Dat omvat het opnieuw instellen van het beheerderswachtwoord, de opgeslagen API-sleutels en het wachtwoord van elke lokale gebruiker die op de gateway is gedefinieerd, zoals serviceaccounts die worden gebruikt voor de configuratie van de auth-server.

Agentschappen moeten de status van deze stappen vóór 5 februari 11:59 uur EST aan CISA rapporteren.

Ga uit van een compromis

Het is veiliger om aan te nemen dat alle services en domeinaccounts die op de apparaten zijn aangesloten, zijn gecompromitteerd en dienovereenkomstig te handelen, dan te proberen te raden welke systemen mogelijk het doelwit zijn. Als zodanig moeten bureaus wachtwoorden twee keer opnieuw instellen (dubbele wachtwoordreset) voor lokale accounts, Kerberos-tickets intrekken en tokens voor cloudaccounts intrekken. In de cloud aangesloten/geregistreerde apparaten moesten worden uitgeschakeld om de apparaattokens in te trekken.

Agentschappen zijn verplicht om hun status voor alle stappen vóór 1 maart, 11:59 uur EST, te rapporteren.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/vulnerabilities-threats/cisa-orders-disconnecting-ivanti-vpn-appliances-what-to-do