CISA quer que dispositivos governamentais expostos sejam corrigidos em 14 dias

CISA quer que dispositivos governamentais expostos sejam corrigidos em 14 dias

Carimbo de data / hora: 29 de junho de 2023, 5h20
CISA quer dispositivos governamentais expostos corrigidos em 14 dias PlatoBlockchain Data Intelligence. Pesquisa vertical. Ai.

Pesquisadores descobriram centenas de dispositivos rodando em redes governamentais que expõem interfaces de gerenciamento remoto na Web aberta. Graças à Agência de Segurança Cibernética e Infraestrutura (CISA), isso mudará rapidamente – possivelmente rápido demais, de acordo com alguns especialistas.

Em 13 de junho, a CISA divulgou Diretriz Operacional Vinculante (BOD) 23-02, com o objetivo de eliminar as interfaces de gerenciamento expostas à Internet em execução em dispositivos de ponta nas redes de agências do Poder Executivo Federal Civil (FCEB). O anúncio veio logo depois Aviso da CISA sobre o Volt Typhoon, a ameaça persistente avançada (APT) apoiada pelo estado chinês que aproveitou os dispositivos Fortinet FortiGuard em campanhas de espionagem contra entidades governamentais dos EUA.

Para avaliar o quão significativo seria o BOD 23-02, pesquisadores do Censys vasculharam a Internet para dispositivos que expõem interfaces de gerenciamento em poder executivo civil federal (FCEB). As varreduras revelaram quase 250 dispositivos qualificados, bem como várias outras vulnerabilidades de rede fora do escopo do BOD 23-02. 

“Embora esse nível de exposição provavelmente não justifique um pânico imediato, ainda é preocupante, porque pode ser apenas a ponta do iceberg”, diz Himaja Motheram, pesquisador de segurança da Censys. “Isso sugere que pode haver problemas de segurança mais profundos e críticos, se esse tipo de higiene básica não for atendida.”

Como as organizações FCEB estão expostas

Os dispositivos qualificados pelo BOD 23-02 incluem roteadores expostos à Internet, switches, firewalls, concentradores de VPN, proxies, balanceadores de carga, interfaces de gerenciamento de servidor fora de banda e quaisquer outros “para os quais as interfaces de gerenciamento estão usando protocolos de rede para gerenciamento remoto pela Internet pública”, explicou a CISA — protocolos como HTTP, FTP SMB e outros.

Os pesquisadores do Censys descobriram centenas desses dispositivos, incluindo vários dispositivos Cisco que expõem Interfaces do gerenciador de dispositivos de segurança adaptáveis, interfaces de roteador Cradlepoint e produtos populares de firewall da Fortinet e SonicWall. Eles também encontraram mais de 15 instâncias de protocolos de acesso remoto expostos em execução em hosts relacionados ao FCEB.

A busca foi tão abundante que eles até descobriram muitas vulnerabilidades de redes federais além do escopo do BOD 23-02, incluindo ferramentas de transferência de arquivos expostas como GoAnywhere MFT e Mova isso, gateways de segurança de e-mail Barracuda expostos, e várias instâncias de software extinto.

Muitas vezes, as organizações não conhecem seu nível de exposição ou não entendem as implicações da exposição. Motheram enfatiza que o equipamento desprotegido era bastante simples de encontrar. “E o que foi trivial para nós encontrar é, honestamente, provavelmente ainda mais trivial para os agentes amadores de ameaças por aí.”

Como os dispositivos de borda são expostos

Como é que tantos dispositivos são expostos em redes governamentais altamente escrutinadas?

Joe Head, CTO da Intrusion, aponta vários motivos, incluindo “conveniência do administrador, falta de conscientização sobre segurança operacional, falta de respeito pelos adversários, uso de senhas padrão ou conhecidas e falta de visibilidade”.

James Cochran, diretor de segurança de terminais da Tanium, acrescenta que “a escassez de pessoal pode fazer com que as equipes de TI sobrecarregadas tomem atalhos para facilitar o gerenciamento da rede”.

Considere também as armadilhas exclusivas do governo que podem piorar ainda mais o problema. “Com pouca supervisão e preocupação com ameaças potenciais, os dispositivos podem ser adicionados à rede sob o pretexto de serem de 'missão crítica', o que os isenta de qualquer escrutínio”, lamenta Cochran. As agências também podem se fundir ou expandir, com lacunas em sua rede e integração de segurança. “Com o tempo, as redes gerais começam a se assemelhar a algo saído de um filme de Mad Max, onde coisas aleatórias são aparafusadas e você não tem certeza do porquê.”

O BOD 23-02 mudará as coisas?

Em sua diretriz, a CISA indicou que começará a escanear dispositivos qualificados e informar as agências culpadas. Após a notificação, as agências infratoras terão apenas 14 dias para desconectar esses dispositivos da Web ou “implantar recursos, como parte de uma arquitetura de confiança zero, que reforçam o controle de acesso à interface por meio de um ponto de aplicação de política separado da própria interface. .”

Esse período de duas semanas forçará as agências relevantes a agir rapidamente para proteger seus sistemas. Mas isso pode ser difícil, reconhece Motheram. “Em teoria, remover dispositivos expostos da Internet deveria ser simples, mas nem sempre é a realidade. Pode haver alguma burocracia para lidar ao alterar as políticas de acesso que adicionam atrito”, explica ela.

Outros acreditam que o ônus é indevido. “Este não é um cronograma responsável”, diz Cochran. “Como o problema é tão generalizado, eu esperaria que houvesse impactos significativos para as agências identificadas. Isso é o mesmo que tentar desembaraçar um monte de fios serrando-os.”

Outros aplaudem a abordagem sensata da CISA. “É difícil chegar a um cronograma para parar de fazer o que nunca deveria ter sido feito”, diz Head, argumentando que 14 dias podem ser muito tempo para esperar. “Cinco minutos seriam mais aconselháveis ​​enquanto os gerentes realizam as mudanças corretivas na rede. Tem sido uma prática padrão não expor as interfaces de gerenciamento à Internet pública há anos, portanto, torná-la obrigatória é prudente e razoável.”

Carimbo de hora:

Mais de Leitura escura