CISA odredi prekinitev povezave z napravami Ivanti VPN: Kaj storiti

Agencija Združenih držav za kibernetsko varnost in varnost infrastrukture (CISA) je dala zveznim agencijam za civilno izvršilno vejo 48 ur, da iztrgajo vse naprave Ivanti, ki se uporabljajo v zveznih omrežjih, zaradi pomislekov, da več akterjev groženj aktivno izkorišča več varnostnih napak v teh sistemih. Odredba je del dodatnega navodila, ki spremlja direktivo o izrednih dogodkih prejšnji teden (ED 24-01).

Varnostni raziskovalci pravijo, da so kibernetski napadalci, ki jih podpira kitajska država, znani kot UNC5221, izkoristili vsaj dve ranljivosti, tako v ničelnih dneh kot od razkritja v začetku januarja – obvod avtentikacije (CVE-2023-46895) in vbrizgavanje ukaza (CVE-2024-21887) napaka — v Ivanti Connect Secure. Poleg tega je Ivanti ta teden dejal, da je ponaredek zahteve na strani strežnika (CVE-2024-21893) napaka je bila že uporabljena v »ciljanih« napadih kot zero day in je razkrila ranljivost stopnjevanja privilegijev v spletni komponenti Ivanti Connect Secure in Ivanti Policy Secure (CVE-2024-21888), ki še ni bil opažen pri napadih v naravi.

»Agencije, ki izvajajo prizadete izdelke Ivanti Connect Secure ali Ivanti Policy Secure, morajo nemudoma izvesti naslednje naloge: Čim prej in najkasneje ob 11:59 v petek, 2. februarja 2024, prekinite povezavo vseh primerkov Ivanti Connect Secure in Ivanti Policy Secure. produkti rešitev iz agencijskih mrež,« CISA je napisala v svoji dodatni smernici.

Direktiva CISA velja za 102 agenciji, navedeni kot "zvezne civilne izvršilne agencije,« seznam, ki vključuje Ministrstvo za domovinsko varnost, Ministrstvo za energijo, Ministrstvo za zunanje zadeve, Urad za upravljanje osebja in Komisijo za vrednostne papirje in borzo (vendar ne Ministrstva za obrambo).

Zasebnim subjektom z napravami Ivanti v svojih okoljih močno priporočamo, da dajo prednost tem istim korakom za zaščito svojih omrežij pred morebitnim izkoriščanjem.

Ivanti VPN Cyber-Risk: Iztrgajte vse

Navodilo za prekinitev povezave in ne za popravilo izdelkov s samo približno 48-urnim obvestilom "je brez primere," znani raziskovalec varnosti v oblaku Scott Piper. Ker naprave Ivanti povezujejo omrežje organizacije s širšim internetom, ogrožanje teh polj pomeni, da lahko napadalci potencialno dostopajo do domenskih računov, sistemov v oblaku in drugih povezanih virov. Nedavna opozorila Mandiant in Volexity, da je več akterjev groženj izkoriščanje napak v množičnem številu je verjetno razlog, zakaj CISA vztraja pri takojšnjem fizičnem odklopu naprav.

CISA je zagotovila navodila o iskanju indikatorjev ogroženosti (IoC), pa tudi o tem, kako vse znova povezati z omrežji, potem ko so naprave ponovno zgrajene. CISA je tudi dejala, da bo zagotovila tehnično pomoč agencijam brez notranjih zmogljivosti za izvajanje teh ukrepov.

Agencijam je naročeno, naj nadaljujejo z dejavnostmi lova na grožnje na sistemih, ki so bili povezani z napravami ali so bili nedavno povezani z njimi, ter naj sisteme izolirajo od virov podjetja "v največji možni meri". Prav tako morajo spremljati vse storitve za preverjanje pristnosti ali upravljanje identitete, ki bi lahko bile razkrite, in revidirati račune za dostop na ravni privilegijev.

Kako znova priključiti naprave

Naprav Ivanti ni mogoče preprosto znova povezati z omrežjem, ampak jih je treba znova zgraditi in nadgraditi, da se odstranijo ranljivosti in vse, kar so napadalci morda pustili za sabo.

»Če je prišlo do izkoriščanja, verjamemo, da je akter grožnje verjetno izvozil vaše tekoče konfiguracije z zasebnimi potrdili, naloženimi na prehodu v času izkoriščanja, in za seboj pustil datoteko spletne lupine, ki omogoča prihodnji dostop prek zakulisnih vrat,« Ivanti zapisal v a članek zbirke znanja, ki pojasnjuje, kako obnoviti napravo. "Verjamemo, da je namen te spletne lupine zagotoviti stranska vrata do prehoda po ublažitvi ranljivosti, zato strankam priporočamo, da prekličejo in zamenjajo potrdila, da preprečijo nadaljnje izkoriščanje po ublažitvi."

Predpostavka je, da so bile naprave ogrožene, zato je naslednji korak preklic in ponovna izdaja vseh povezanih ali izpostavljenih potrdil, ključev in gesel. To vključuje ponastavitev gesla za omogočanje skrbnika, shranjenih ključev API in gesla katerega koli lokalnega uporabnika, definiranega na prehodu, kot so računi storitev, ki se uporabljajo za konfiguracijo strežnika za preverjanje avtorizacije.

Agencije morajo poročati CISA o stanju teh korakov do 5. februarja do 11:59 EST.

Predpostavi kompromis

Varneje je domnevati, da so bile ogrožene vse storitve in domenski računi, povezani z napravami, in ukrepati v skladu s tem, kot pa poskušati ugibati, kateri sistemi so bili morda tarča. Kot take morajo agencije dvakrat ponastaviti gesla (dvojna ponastavitev gesla) za lokalne račune, preklicati vstopnice Kerberos in preklicati žetone za račune v oblaku. Naprave, pridružene/registrirane v oblak, je bilo treba onemogočiti za preklic žetonov naprave.

Agencije morajo sporočiti svoj status v vseh korakih do 1. marca do 11:59 EST.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/vulnerabilities-threats/cisa-orders-disconnecting-ivanti-vpn-appliances-what-to-do