CISA beställer Ivanti VPN-apparater frånkopplade: Vad ska man göra

United States Cybersecurity and Infrastructure Security Agency (CISA) har gett Federal Civilian Executive Branch-byråer 48 timmar på sig att riva ut alla Ivanti-apparater som används på federala nätverk, på grund av oro för att flera hotaktörer utnyttjar aktivt flera säkerhetsbrister i dessa system. Ordern är en del av den kompletterande riktningen som åtföljer förra veckans nöddirektiv (ED 24-01).

Säkerhetsforskare säger att kinesiska statsstödda cyberattackare kända som UNC5221 har utnyttjat minst två sårbarheter både som noll dagar och sedan avslöjandet i början av januari – en autentiseringsbypass (CVE-2023-46895) och en kommandoinjektion (CVE-2024-21887) fel — i Ivanti Connect Secure. Dessutom sa Ivanti den här veckan att en förfalskning på serversidan (CVE-2024-21893)-fel har redan använts i "riktade" attacker som en nolldag, och den avslöjade en privilegie-eskaleringssårbarhet i webbkomponenten av Ivanti Connect Secure och Ivanti Policy Secure (CVE-2024-21888) som ännu inte observerats vid attacker i det vilda.

"Byråer som kör berörda Ivanti Connect Secure- eller Ivanti Policy Secure-produkter måste omedelbart utföra följande uppgifter: Så snart som möjligt och senast kl. 11:59 fredagen den 2 februari 2024, koppla bort alla instanser av Ivanti Connect Secure och Ivanti Policy Secure lösningsprodukter från byrånätverk,” CISA skrev i sin kompletterande riktning.

CISA:s direktiv gäller för de 102 byråer som anges som "federala civila verkställande organ”, en lista som inkluderar Department of Homeland Security, Department of Energy, Department of State, Office of Personal Management och Securities and Exchange Commission (men inte Department of Defense).

Privata enheter med Ivanti-apparater i sina miljöer rekommenderas starkt att prioritera att vidta samma åtgärder för att skydda sina nätverk från potentiell exploatering.

Ivanti VPN Cyber-Risk: Rip It All Out

Instruktionen att koppla bort, inte patcha, produkterna med bara ungefär 48 timmars varsel "är utan motstycke", noterade molnsäkerhetsforskaren Scott Piper. Eftersom Ivanti-appliances överbryggar organisationens nätverk till det bredare Internet, innebär det att angripare kan komma åt domänkonton, molnsystem och andra anslutna resurser genom att äventyra dessa rutor. De senaste varningarna från Mandiant och Volexity om att flera hotande aktörer är utnyttja bristerna i massan är troligen därför CISA insisterar på att fysiskt koppla bort apparaterna direkt.

CISA gav instruktioner om hur man letar efter indikatorer på kompromiss (IoCs), samt hur man återansluter allt till nätverken efter att apparaterna har byggts om. CISA sa också att de kommer att tillhandahålla tekniskt bistånd till byråer utan intern kapacitet för att utföra dessa åtgärder.

Byråer instrueras att fortsätta hotjaktande aktiviteter på system som var anslutna till eller nyligen anslutna till apparaterna, samt att isolera systemen från företagets resurser "i största möjliga utsträckning." De bör också övervaka alla autentiserings- eller identitetshanteringstjänster som kunde ha blivit exponerade och granska åtkomstkonton på behörighetsnivå.

Hur man återansluter apparater

Ivanti-apparaterna kan inte bara återanslutas till nätverket, utan måste byggas om och uppgraderas för att ta bort sårbarheterna och allt angripare kan ha lämnat bakom sig.

"Om exploatering har skett, tror vi att det är troligt att hotaktören har tagit en export av dina körkonfigurationer med de privata certifikaten laddade på gatewayen vid exploateringstillfället och lämnat efter sig en webbskalsfil som möjliggör framtida bakdörrsåtkomst," Ivanti skrev i a kunskapsbasartikel som förklarar hur man bygger om enheten. "Vi tror att syftet med detta webbskal är att tillhandahålla en bakdörr till gatewayen efter att sårbarheten har mildrats, av denna anledning rekommenderar vi kunder att återkalla och ersätta certifikat för att förhindra ytterligare exploatering efter begränsning."

Antagandet är att apparaterna har äventyrats, så nästa steg är att återkalla och återutge alla anslutna eller exponerade certifikat, nycklar och lösenord. Det inkluderar återställning av administratörsaktiveringslösenordet, lagrade API-nycklar och lösenordet för alla lokala användare som definierats på gatewayen, till exempel tjänstekonton som används för autentiseringsserverkonfiguration.

Byråer måste rapportera till CISA status för dessa steg senast den 5 februari kl. 11:59 EST.

Anta kompromiss

Det är säkrare att anta att alla tjänster och domänkonton som är anslutna till apparaterna har äventyrats och att agera därefter, än att försöka gissa vilka system som kan ha varit inriktade på. Som sådan måste byråer återställa lösenord två gånger (dubbel återställning av lösenord) för lokala konton, återkalla Kerberos-biljetter och återkalla tokens för molnkonton. Molnanslutna/registrerade enheter behövde inaktiveras för att återkalla enhetstoken.

Byråer måste rapportera sin status för alla steg senast den 1 mars kl. 11:59 EST.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/vulnerabilities-threats/cisa-orders-disconnecting-ivanti-vpn-appliances-what-to-do