CISA bestiller Ivanti VPN-apparater frakoblet: Hva skal gjøres

United States Cybersecurity and Infrastructure Security Agency (CISA) har gitt Federal Civilian Executive Branch-byråer 48 timer til å rive ut alle Ivanti-apparater som er i bruk på føderale nettverk, på grunn av bekymringer om at flere trusselaktører utnytter aktivt flere sikkerhetsfeil i disse systemene. Ordren er en del av den supplerende retningen som følger med forrige ukes nøddirektiv (ED 24-01).

Sikkerhetsforskere sier kinesiske statsstøttede nettangripere kjent som UNC5221 har utnyttet minst to sårbarheter både som nulldager og siden avsløringen i begynnelsen av januar – en autentiseringsomgåelse (CVE-2023-46895) og en kommandoinjeksjon (CVE-2024-21887) feil — i Ivanti Connect Secure. I tillegg sa Ivanti denne uken at en forespørselsforfalskning på serversiden (CVE-2024-21893) feil har allerede blitt brukt i "målrettede" angrep som en nulldag, og den avslørte et sikkerhetsproblem med privilegieeskalering i webkomponenten til Ivanti Connect Secure og Ivanti Policy Secure (CVE-2024-21888) som ennå ikke ble observert i angrep i naturen.

"Byråer som kjører berørte Ivanti Connect Secure- eller Ivanti Policy Secure-produkter er pålagt å umiddelbart utføre følgende oppgaver: Så snart som mulig og senest kl. 11:59 fredag ​​2. februar 2024, koble fra alle forekomster av Ivanti Connect Secure og Ivanti Policy Secure løsningsprodukter fra byrånettverk» CISA skrev i sin supplerende retning.

CISAs direktiv gjelder for de 102 byråene som er oppført som "føderale sivile utøvende organer", en liste som inkluderer Department of Homeland Security, Department of Energy, Department of State, Office of Personal Management og Securities and Exchange Commission (men ikke Department of Defense).

Private enheter med Ivanti-apparater i sine miljøer anbefales sterkt å prioritere å ta de samme trinnene for å beskytte nettverkene deres mot potensiell utnyttelse.

Ivanti VPN Cyber-Risk: Riv alt ut

Instruksjonen om å koble fra, ikke lappe, produktene med bare omtrent 48 timers varsel «er enestående» bemerket skysikkerhetsforsker Scott Piper. Fordi Ivanti-enheter kobler organisasjonens nettverk til det bredere Internett, betyr kompromittering av disse boksene at angripere potensielt kan få tilgang til domenekontoer, skysystemer og andre tilkoblede ressurser. De nylige advarslene fra Mandiant og Volexity om at flere trusselaktører er utnytter feilene i massetall er sannsynligvis grunnen til at CISA insisterer på å fysisk koble fra apparatene med en gang.

CISA ga instruksjoner om hvordan du leter etter indikatorer på kompromiss (IoCs), samt hvordan du kobler alt til nettverkene igjen etter at enhetene er gjenoppbygd. CISA sa også at de vil gi teknisk assistanse til byråer uten intern kapasitet til å utføre disse handlingene.

Byråer blir bedt om å fortsette trusseljaktende aktiviteter på systemer som var koblet til, eller nylig koblet til, enhetene, samt å isolere systemene fra bedriftens ressurser «i størst mulig grad». De bør også overvåke alle autentiserings- eller identitetsadministrasjonstjenester som kunne ha blitt avslørt og revidere tilgangskontoer på rettighetsnivå.

Slik kobler du til apparater på nytt

Ivanti-apparatene kan ikke bare kobles til nettverket igjen, men må bygges om og oppgraderes for å fjerne sårbarhetene og alt angripere kan ha etterlatt seg.

"Hvis utnyttelse har skjedd, tror vi det er sannsynlig at trusselaktøren har tatt en eksport av kjørekonfigurasjonene dine med de private sertifikatene lastet på gatewayen på tidspunktet for utnyttelsen, og etterlatt seg en web-skallfil som muliggjør fremtidig tilgang bakdør," Ivanti skrev i a kunnskapsbaseartikkel som forklarer hvordan du gjenoppbygger enheten. "Vi tror hensikten med dette web-skallet er å gi en bakdør til gatewayen etter at sårbarheten er redusert, av denne grunn anbefaler vi kunder å tilbakekalle og erstatte sertifikater for å forhindre ytterligere utnyttelse etter avbøting."

Forutsetningen er at enhetene har blitt kompromittert, så neste trinn er å tilbakekalle og utstede alle tilkoblede eller eksponerte sertifikater, nøkler og passord på nytt. Dette inkluderer tilbakestilling av adminaktiveringspassordet, lagrede API-nøkler og passordet til enhver lokal bruker som er definert på gatewayen, for eksempel tjenestekontoer som brukes til autentiseringsserverkonfigurasjon.

Byråer må rapportere til CISA statusen for disse trinnene innen 5. februar kl. 11:59 EST.

Anta kompromiss

Det er tryggere å anta at alle tjenester og domenekontoer knyttet til enhetene har blitt kompromittert og å handle deretter, enn å prøve å gjette hvilke systemer som kan ha vært målrettet mot. Som sådan må byråer tilbakestille passord to ganger (dobbel tilbakestilling av passord) for lokale kontoer, tilbakekalle Kerberos-billetter og tilbakekalle tokens for skykontoer. Cloud-tilkoblede/registrerte enheter måtte deaktiveres for å tilbakekalle enhetstokenene.

Byråer er pålagt å rapportere status over alle trinnene innen 1. mars kl. 11:59 EST.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/vulnerabilities-threats/cisa-orders-disconnecting-ivanti-vpn-appliances-what-to-do