CISA приказывает отключить VPN-устройства Ivanti: что делать

Агентство кибербезопасности и безопасности инфраструктуры США (CISA) предоставило федеральным агентствам гражданской исполнительной власти 48 часов на то, чтобы вывести из строя все устройства Ivanti, используемые в федеральных сетях, из-за опасений, что несколько субъектов угроз активно используют многочисленные недостатки безопасности в этих системах. Приказ является частью дополнительного указания, сопровождающего чрезвычайное распоряжение, принятое на прошлой неделе (ED 24-01).

Исследователи безопасности говорят, что поддерживаемые государством китайские кибератаки, известные как UNC5221, воспользовались как минимум двумя уязвимостями как с нулевым днем, так и с момента раскрытия в начале января — обхода аутентификации (CVE-2023-46895) и внедрение команды (CVE-2024-21887) недостаток — в Ivanti Connect Secure. Кроме того, на этой неделе Иванти заявил, что произошла подделка запросов на стороне сервера (CVE-2024-21893) уязвимость уже использовалась в «целевых» атаках нулевого дня и раскрыла уязвимость повышения привилегий в веб-компоненте Ivanti Connect Secure и Ivanti Policy Secure (CVE-2024-21888), чего еще не наблюдалось при нападениях в дикой природе.

«Агентства, использующие затронутые продукты Ivanti Connect Secure или Ivanti Policy Secure, обязаны немедленно выполнить следующие задачи: Как можно скорее и не позднее 11:59 в пятницу, 2 февраля 2024 г., отключить все экземпляры Ivanti Connect Secure и Ivanti Policy Secure. продукты-решения от агентских сетей», CISA написала в своем дополнительном указании.

Директива CISA распространяется на 102 агентства, перечисленных как «федеральные гражданские органы исполнительной власти», список, в который входят Министерство внутренней безопасности, Министерство энергетики, Государственный департамент, Управление кадров и Комиссия по ценным бумагам и биржам (но не Министерство обороны).

Частным организациям, использующим устройства Ivanti в своей среде, настоятельно рекомендуется уделить первоочередное внимание тем же самым шагам, чтобы защитить свои сети от потенциальной эксплуатации.

Кибер-риск Ivanti VPN: вырвите все наружу

Инструкция по отключению, а не исправлению продуктов с уведомлением примерно за 48 часов «беспрецедентна». отметил исследователь облачной безопасности Скотт Пайпер. Поскольку устройства Ivanti соединяют сеть организации с более широким Интернетом, компрометация этих устройств означает, что злоумышленники потенциально могут получить доступ к учетным записям домена, облачным системам и другим подключенным ресурсам. Недавние предупреждения Mandiant и Volexity о том, что несколько субъектов угроз эксплуатация недостатков в массовых числах Вероятно, именно поэтому CISA настаивает на немедленном физическом отключении приборов.

CISA предоставила инструкции по поиску индикаторов компрометации (IoC), а также по тому, как повторно подключить все к сетям после восстановления устройств. CISA также заявила, что будет оказывать техническую помощь агентствам, не имеющим внутренних возможностей для выполнения этих действий.

Агентствам поручено продолжать деятельность по поиску угроз в системах, которые были подключены или недавно подключены к устройствам, а также изолировать системы от ресурсов предприятия «в максимально возможной степени». Им также следует отслеживать любые службы аутентификации или управления идентификацией, которые могут быть раскрыты, и проверять учетные записи доступа на уровне привилегий.

Как повторно подключить технику

Устройства Ivanti нельзя просто повторно подключить к сети, их необходимо перестроить и модернизировать, чтобы устранить уязвимости и все, что могли оставить злоумышленники.

«Если эксплуатация произошла, мы считаем, что злоумышленник, скорее всего, экспортировал ваши рабочие конфигурации с частными сертификатами, загруженными на шлюз во время эксплойта, и оставил после себя файл веб-оболочки, обеспечивающий бэкдорный доступ в будущем», — Иванти написал в статья базы знаний, объясняющая, как восстановить устройство. «Мы считаем, что цель этой веб-оболочки — предоставить бэкдор для шлюза после устранения уязвимости, поэтому мы рекомендуем клиентам отозвать и заменить сертификаты, чтобы предотвратить дальнейшую эксплуатацию после устранения уязвимости».

Предполагается, что устройства были скомпрометированы, поэтому следующим шагом будет отзыв и повторная выдача всех подключенных или открытых сертификатов, ключей и паролей. Это включает в себя сброс пароля администратора, сохраненных ключей API и пароля любого локального пользователя, определенного на шлюзе, например учетных записей служб, используемых для конфигурации сервера аутентификации.

Агентства должны сообщить CISA о статусе этих шагов до 5 февраля, 11:59 по восточному стандартному времени.

Примите компромисс

Безопаснее предположить, что все службы и учетные записи домена, подключенные к устройствам, были скомпрометированы, и действовать соответствующим образом, чем пытаться угадать, какие системы могли быть атакованы. Таким образом, агентства должны дважды сбросить пароли (двойной сброс пароля) для локальных учетных записей, отозвать билеты Kerberos и отозвать токены для облачных учетных записей. Устройства, подключенные/зарегистрированные в облаке, необходимо было отключить, чтобы отозвать токены устройств.

Агентства обязаны сообщить о своем статусе на всех этапах до 1 марта, 11:59 по восточному стандартному времени.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/vulnerabilities-threats/cisa-orders-disconnecting-ivanti-vpn-appliances-what-to-do