CISA nakazuje odłączenie urządzeń Ivanti VPN: co robić

Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury Stanów Zjednoczonych (CISA) dała agencjom Federalnego Cywilnego Oddziału Wykonawczego 48 godzin na usunięcie wszystkich urządzeń Ivanti używanych w sieciach federalnych w związku z obawami, że wielu aktorów zagrażających aktywnie wykorzystuje liczne luki w zabezpieczeniach w tych systemach. Zarządzenie stanowi część dodatkowego kierunku towarzyszącego dyrektywie nadzwyczajnej z zeszłego tygodnia (ED 24-01).

Badacze bezpieczeństwa twierdzą, że wspierani przez chińskie państwo cyberprzestępcy znani jako UNC5221 wykorzystali co najmniej dwie luki w zabezpieczeniach zarówno w wersji zero-day, jak i od ujawnienia na początku stycznia – obejście uwierzytelnienia (CVE-2023-46895) i zastrzyk poleceń (CVE-2024-21887) wada — w Ivanti Connect Secure. Ponadto firma Ivanti poinformowała w tym tygodniu, że fałszerstwo żądań po stronie serwera (CVE-2024-21893) lukę wykorzystano już w „ukierunkowanych” atakach jako dzień zerowy i ujawniono lukę w zabezpieczeniach umożliwiającą eskalację uprawnień w komponencie internetowym rozwiązań Ivanti Connect Secure i Ivanti Policy Secure (CVE-2024-21888), czego nie zaobserwowano jeszcze podczas ataków na wolności.

„Agencje korzystające z produktów Ivanti Connect Secure lub Ivanti Policy Secure, których dotyczy problem, są zobowiązane do natychmiastowego wykonania następujących zadań: Tak szybko, jak to możliwe i nie później niż o 11:59 w piątek 2 lutego 2024 r., odłącz wszystkie wystąpienia Ivanti Connect Secure i Ivanti Policy Secure rozwiązania z sieci agencyjnych”, CISA napisała w swoim dodatkowym kierunku.

Dyrektywa CISA ma zastosowanie do 102 agencji wymienionych jako „federalne cywilne agencje wykonawcze”, lista obejmująca Departament Bezpieczeństwa Wewnętrznego, Departament Energii, Departament Stanu, Biuro Zarządzania Personelem oraz Komisję Papierów Wartościowych i Giełd (ale nie Departament Obrony).

Zdecydowanie zaleca się, aby podmioty prywatne posiadające w swoich środowiskach urządzenia Ivanti priorytetowo potraktowały te same kroki w celu ochrony swoich sieci przed potencjalną eksploatacją.

Cyberzagrożenie Ivanti VPN: pozbądź się wszystkiego

Instrukcja odłączania, a nie łatania produktów z zaledwie 48-godzinnym wyprzedzeniem „jest bezprecedensowa” znany badacz bezpieczeństwa chmury Scott Piper. Ponieważ urządzenia Ivanti łączą sieć organizacji z szerszym Internetem, naruszenie tych skrzynek oznacza, że ​​osoby atakujące mogą potencjalnie uzyskać dostęp do kont domenowych, systemów chmurowych i innych podłączonych zasobów. Niedawne ostrzeżenia Mandiant i Volexity mówiące o wielu aktorach zagrażających wykorzystując wady liczb masowych prawdopodobnie dlatego CISA nalega na natychmiastowe fizyczne odłączenie urządzeń.

CISA dostarczyła instrukcje dotyczące poszukiwania wskaźników kompromisu (IoC), a także sposobu ponownego podłączenia wszystkiego do sieci po odbudowie urządzeń. CISA oświadczyła również, że zapewni pomoc techniczną agencjom nieposiadającym wewnętrznych możliwości przeprowadzenia tych działań.

Agencje otrzymują polecenie kontynuowania działań związanych z poszukiwaniem zagrożeń w systemach, które były podłączone lub niedawno podłączone do urządzeń, a także izolowania systemów od zasobów przedsiębiorstwa „w największym możliwym stopniu”. Powinni także monitorować wszelkie usługi uwierzytelniania lub zarządzania tożsamością, które mogły zostać ujawnione, oraz kontrolować konta dostępu na poziomie uprawnień.

Jak ponownie podłączyć urządzenia

Urządzeń Ivanti nie można po prostu ponownie podłączyć do sieci, ale należy je odbudować i zmodernizować, aby usunąć luki w zabezpieczeniach i wszystko, co mogli pozostawić po sobie atakujący.

„Jeśli doszło do wykorzystania, uważamy, że prawdopodobne jest, że osoba atakująca wyeksportowała działające konfiguracje z prywatnymi certyfikatami załadowanymi do bramy w momencie exploita i pozostawiła plik powłoki internetowej umożliwiający w przyszłości dostęp backdoorem” – Ivanti napisał w A artykuł w bazie wiedzy wyjaśniający sposób odbudowy urządzenia. „Uważamy, że celem tej powłoki internetowej jest zapewnienie tylnego wejścia do bramy po załagodzeniu luki, dlatego zalecamy klientom unieważnianie i wymianę certyfikatów, aby zapobiec dalszemu wykorzystaniu luki po załagodzeniu”.

Założono, że urządzenia zostały zhakowane, więc następnym krokiem jest unieważnienie i ponowne wydanie wszystkich podłączonych lub ujawnionych certyfikatów, kluczy i haseł. Obejmuje to resetowanie hasła dostępu administratora, przechowywanych kluczy API i hasła dowolnego użytkownika lokalnego zdefiniowanego w bramie, np. kont usług używanych do konfiguracji serwera uwierzytelniania.

Agencje muszą zgłosić CISA status tych kroków do 5 lutego do godziny 11:59 czasu wschodniego.

Załóż kompromis

Bezpieczniej jest założyć, że wszystkie usługi i konta domenowe podłączone do urządzeń zostały naruszone i podjąć odpowiednie działania, niż próbować zgadnąć, które systemy mogły być celem. W związku z tym agencje muszą dwukrotnie resetować hasła (podwójny reset hasła) do kont lokalnych, unieważniać bilety Kerberos i tokeny dla kont w chmurze. Urządzenia podłączone/zarejestrowane w chmurze musiały zostać wyłączone, aby móc unieważnić tokeny urządzeń.

Agencje mają obowiązek zgłosić swój status na wszystkich etapach do 1 marca do godziny 11:59 czasu wschodniego.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/vulnerabilities-threats/cisa-orders-disconnecting-ivanti-vpn-appliances-what-to-do