Агентство кибербезопасности и безопасности инфраструктуры США (CISA) предоставило федеральным агентствам гражданской исполнительной власти 48 часов на то, чтобы вывести из строя все устройства Ivanti, используемые в федеральных сетях, из-за опасений, что несколько субъектов угроз активно используют многочисленные недостатки безопасности в этих системах. Приказ является частью дополнительного указания, сопровождающего чрезвычайное распоряжение, принятое на прошлой неделе (ED 24-01).
Исследователи безопасности говорят, что поддерживаемые государством китайские кибератаки, известные как UNC5221, воспользовались как минимум двумя уязвимостями как с нулевым днем, так и с момента раскрытия в начале января — обхода аутентификации (CVE-2023-46895) и внедрение команды (CVE-2024-21887) недостаток — в Ivanti Connect Secure. Кроме того, на этой неделе Иванти заявил, что произошла подделка запросов на стороне сервера (CVE-2024-21893) уязвимость уже использовалась в «целевых» атаках нулевого дня и раскрыла уязвимость повышения привилегий в веб-компоненте Ivanti Connect Secure и Ivanti Policy Secure (CVE-2024-21888), чего еще не наблюдалось при нападениях в дикой природе.
«Агентства, использующие затронутые продукты Ivanti Connect Secure или Ivanti Policy Secure, обязаны немедленно выполнить следующие задачи: Как можно скорее и не позднее 11:59 в пятницу, 2 февраля 2024 г., отключить все экземпляры Ivanti Connect Secure и Ivanti Policy Secure. продукты-решения от агентских сетей», CISA написала в своем дополнительном указании.
Директива CISA распространяется на 102 агентства, перечисленных как «федеральные гражданские органы исполнительной власти», список, в который входят Министерство внутренней безопасности, Министерство энергетики, Государственный департамент, Управление кадров и Комиссия по ценным бумагам и биржам (но не Министерство обороны).
Частным организациям, использующим устройства Ivanti в своей среде, настоятельно рекомендуется уделить первоочередное внимание тем же самым шагам, чтобы защитить свои сети от потенциальной эксплуатации.
Кибер-риск Ivanti VPN: вырвите все наружу
Инструкция по отключению, а не исправлению продуктов с уведомлением примерно за 48 часов «беспрецедентна». отметил исследователь облачной безопасности Скотт Пайпер. Поскольку устройства Ivanti соединяют сеть организации с более широким Интернетом, компрометация этих устройств означает, что злоумышленники потенциально могут получить доступ к учетным записям домена, облачным системам и другим подключенным ресурсам. Недавние предупреждения Mandiant и Volexity о том, что несколько субъектов угроз эксплуатация недостатков в массовых числах Вероятно, именно поэтому CISA настаивает на немедленном физическом отключении приборов.
CISA предоставила инструкции по поиску индикаторов компрометации (IoC), а также по тому, как повторно подключить все к сетям после восстановления устройств. CISA также заявила, что будет оказывать техническую помощь агентствам, не имеющим внутренних возможностей для выполнения этих действий.
Агентствам поручено продолжать деятельность по поиску угроз в системах, которые были подключены или недавно подключены к устройствам, а также изолировать системы от ресурсов предприятия «в максимально возможной степени». Им также следует отслеживать любые службы аутентификации или управления идентификацией, которые могут быть раскрыты, и проверять учетные записи доступа на уровне привилегий.
Как повторно подключить технику
Устройства Ivanti нельзя просто повторно подключить к сети, их необходимо перестроить и модернизировать, чтобы устранить уязвимости и все, что могли оставить злоумышленники.
«Если эксплуатация произошла, мы считаем, что злоумышленник, скорее всего, экспортировал ваши рабочие конфигурации с частными сертификатами, загруженными на шлюз во время эксплойта, и оставил после себя файл веб-оболочки, обеспечивающий бэкдорный доступ в будущем», — Иванти написал в статья базы знаний, объясняющая, как восстановить устройство. «Мы считаем, что цель этой веб-оболочки — предоставить бэкдор для шлюза после устранения уязвимости, поэтому мы рекомендуем клиентам отозвать и заменить сертификаты, чтобы предотвратить дальнейшую эксплуатацию после устранения уязвимости».
-
Агентствам рекомендуется сначала экспортировать параметры конфигурации устройства, выполнить сброс настроек к заводским, а затем восстановить устройство.
-
Программное обеспечение устройства необходимо обновить через официальный портал загрузки до одной из следующих версий: 9.1R18.3, 22.4R2.2, 22.5R1.1, 9.1R14.4 или 9.1R17.2.
-
После завершения обновления параметры конфигурации можно импортировать обратно на устройство.
Предполагается, что устройства были скомпрометированы, поэтому следующим шагом будет отзыв и повторная выдача всех подключенных или открытых сертификатов, ключей и паролей. Это включает в себя сброс пароля администратора, сохраненных ключей API и пароля любого локального пользователя, определенного на шлюзе, например учетных записей служб, используемых для конфигурации сервера аутентификации.
Агентства должны сообщить CISA о статусе этих шагов до 5 февраля, 11:59 по восточному стандартному времени.
Примите компромисс
Безопаснее предположить, что все службы и учетные записи домена, подключенные к устройствам, были скомпрометированы, и действовать соответствующим образом, чем пытаться угадать, какие системы могли быть атакованы. Таким образом, агентства должны дважды сбросить пароли (двойной сброс пароля) для локальных учетных записей, отозвать билеты Kerberos и отозвать токены для облачных учетных записей. Устройства, подключенные/зарегистрированные в облаке, необходимо было отключить, чтобы отозвать токены устройств.
Агентства обязаны сообщить о своем статусе на всех этапах до 1 марта, 11:59 по восточному стандартному времени.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/vulnerabilities-threats/cisa-orders-disconnecting-ivanti-vpn-appliances-what-to-do
- :имеет
- :является
- :нет
- 1
- 10
- 11
- 12
- 2024
- 22
- 7
- 8
- 9
- a
- доступ
- соответственно
- Учетные записи
- через
- Действие (Act):
- действия
- активно
- активно
- актеры
- дополнение
- Администратор
- пострадавших
- После
- агентствах
- агентство
- Все
- уже
- причислены
- an
- и
- и инфраструктура
- любой
- все
- API
- КЛЮЧИ API
- техника
- применяется
- МЫ
- гайд
- AS
- Помощь
- предполагать
- предположение
- At
- нападки
- аудит
- Auth
- Аутентификация
- прочь
- назад
- задняя дверь
- BE
- , так как:
- было
- за
- верить
- изоферменты печени
- коробки
- Филиал
- МОСТ
- шире
- но
- by
- байпас
- CAN
- не могу
- возможности
- нести
- сертификаты
- китайский
- Circle
- гражданский
- облако
- Cloud Security
- комиссии
- полный
- компонент
- скомпрометированы
- Ослабленный
- компромат
- Обеспокоенность
- Конфигурация
- Свяжитесь
- подключенный
- продолжать
- может
- Клиенты
- Информационная безопасность
- день
- Защита
- определенный
- Степень
- Кафедра
- Министерство обороны
- Департамент внутренней безопасности
- устройство
- Устройства
- направление
- инвалид
- раскрытие
- отключившийся
- do
- домен
- двойной
- скачать
- Рано
- ed
- крайняя необходимость
- включить
- позволяет
- энергетика
- Предприятие
- лиц
- средах
- многое
- обмена
- исполнительный
- объясняя
- Эксплуатировать
- эксплуатация
- Эксплуатируемый
- эксплуатации
- экспорт
- подвергаться
- завод
- фев
- февраль
- Федеральный
- Файл
- Во-первых,
- недостаток
- недостатки
- после
- Что касается
- подделка
- пятница
- от
- далее
- будущее
- шлюз
- данный
- величайший
- догадываться
- Есть
- родина
- Национальная Безопаность
- ЧАСЫ
- Как
- How To
- HTTPS
- ICON
- Личность
- управление идентификацией
- if
- немедленно
- in
- включает в себя
- индикаторы
- Инфраструктура
- инструкции
- в нашей внутренней среде,
- Интернет
- IT
- ЕГО
- январь
- JPG
- всего
- ключи
- известный
- Фамилия
- новее
- наименее
- оставил
- Вероятно
- Список
- Включенный в список
- локальным
- искать
- управление
- Март
- Март 1
- Масса
- Май..
- означает
- смягчение
- монитор
- с разными
- должен
- Необходимость
- необходимый
- сеть
- сетей
- следующий
- NIST
- нет
- Уведомление..
- номера
- произошло
- of
- Офис
- Официальный представитель в Грузии
- on
- ONE
- на
- or
- заказ
- заказы
- организация
- Другое
- внешний
- за
- часть
- Пароль
- восстановление пароля
- пароли
- Патчи
- Выполнять
- Персонал
- Физически
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- политика
- Портал
- возможное
- потенциал
- потенциально
- предотвращать
- Расставляйте приоритеты
- частная
- Продукция
- для защиты
- обеспечивать
- при условии
- цель
- причина
- последний
- недавно
- Управление по борьбе с наркотиками (DEA)
- рекомендуя
- воссоединиться
- удаление
- замещать
- отчету
- запросить
- обязательный
- исследователь
- исследователи
- Полезные ресурсы
- правую
- грубо
- Бег
- s
- безопаснее
- Сказал
- то же
- сообщили
- Скотт
- безопасный
- Ценные бумаги
- Комиссия по ценным бумагам и биржам
- безопасность
- сервер
- обслуживание
- Услуги
- настройки
- Оболочка
- должен
- с
- So
- Software
- Решение
- скоро
- Спонсоров
- Область
- Области
- Статус:
- Шаг
- Шаги
- хранить
- сильно
- такие
- системы
- приняты
- с
- целевое
- задачи
- Технический
- чем
- который
- Ассоциация
- их
- тогда
- Эти
- они
- этой
- На этой неделе
- угроза
- актеры угрозы
- Через
- билеты
- время
- в
- Лексемы
- пытается
- Дважды
- два
- Объединенный
- США
- беспрецедентный
- модернизация
- повышен
- использование
- используемый
- Информация о пользователе
- версии
- VPN
- Уязвимости
- уязвимость
- законопроект
- we
- Web
- неделя
- ЧТО Ж
- были
- Что
- , которые
- зачем
- Дикий
- будете
- без
- писал
- еще
- ВАШЕ
- зефирнет
- нуль
- Zero Day