CISA สั่งให้อุปกรณ์ Ivanti VPN ถูกตัดการเชื่อมต่อ: จะทำอย่างไร

CISA สั่งให้อุปกรณ์ Ivanti VPN ถูกตัดการเชื่อมต่อ: จะทำอย่างไร

ประทับเวลา: 1 กุมภาพันธ์ 2024 4:00 น
CISA Orders Ivanti VPN Appliances Disconnected: What to Do PlatoBlockchain Data Intelligence. Vertical Search. Ai.

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ให้เวลา 48 ชั่วโมงแก่หน่วยงาน Federal Civilian Executive Branch เพื่อดึงอุปกรณ์ Ivanti ทั้งหมดที่ใช้งานบนเครือข่ายของรัฐบาลกลางออก เนื่องจากมีข้อกังวลว่า ผู้คุกคามหลายรายกำลังใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยหลายประการ ในระบบเหล่านี้ คำสั่งดังกล่าวเป็นส่วนหนึ่งของแนวทางเพิ่มเติมที่มาพร้อมกับคำสั่งฉุกเฉินของสัปดาห์ที่แล้ว (ED 24-01)

นักวิจัยด้านความปลอดภัยกล่าวว่าผู้โจมตีทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐจีนที่รู้จักกันในชื่อ UNC5221 ได้ใช้ประโยชน์จากช่องโหว่อย่างน้อยสองรายการทั้งในรูปแบบซีโรเดย์และนับตั้งแต่เปิดเผยเมื่อต้นเดือนมกราคม ซึ่งเป็นการบายพาสการรับรองความถูกต้อง (CVE-2023-46895) และคำสั่งฉีด (CVE-2024-21887) ข้อบกพร่อง — ใน Ivanti Connect Secure นอกจากนี้ Ivanti กล่าวในสัปดาห์นี้ว่ามีการปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์ (CVE-2024-21893) มีการใช้ข้อบกพร่องในการโจมตีแบบ "กำหนดเป้าหมาย" เป็นแบบ Zero Day แล้ว และได้เปิดเผยช่องโหว่ในการยกระดับสิทธิ์ในองค์ประกอบเว็บของ Ivanti Connect Secure และ Ivanti Policy Secure (CVE-2024-21888) ที่ยังไม่มีใครสังเกตเห็นจากการโจมตีในป่า

“หน่วยงานที่ใช้งานผลิตภัณฑ์ Ivanti Connect Secure หรือ Ivanti Policy Secure ที่ได้รับผลกระทบจะต้องดำเนินการต่อไปนี้ทันที: โดยเร็วที่สุดและไม่ช้ากว่า 11 น. ของวันศุกร์ที่ 59 กุมภาพันธ์ 2 ให้ยกเลิกการเชื่อมต่ออินสแตนซ์ทั้งหมดของ Ivanti Connect Secure และ Ivanti Policy Secure ผลิตภัณฑ์โซลูชั่นจากเครือข่ายตัวแทน” CISA เขียนในแนวทางเพิ่มเติม.

คำสั่งของ CISA ใช้กับหน่วยงาน 102 แห่งที่ระบุว่าเป็น “หน่วยงานสาขาบริหารพลเรือนของรัฐบาลกลาง,” รายชื่อซึ่งรวมถึงกระทรวงความมั่นคงแห่งมาตุภูมิ กระทรวงพลังงาน กระทรวงการต่างประเทศ สำนักงานบริหารงานบุคคล และสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (แต่ไม่ใช่กระทรวงกลาโหม)

ขอแนะนำอย่างยิ่งให้องค์กรเอกชนที่มีอุปกรณ์ Ivanti ในสภาพแวดล้อมของตนจัดลำดับความสำคัญในการทำตามขั้นตอนเดียวกันนี้เพื่อปกป้องเครือข่ายของตนจากการแสวงหาประโยชน์ที่อาจเกิดขึ้น

Ivanti VPN ความเสี่ยงทางไซเบอร์: ฉีกมันออกไปให้หมด

คำแนะนำในการยกเลิกการเชื่อมต่อ ไม่ใช่แพทช์ ผลิตภัณฑ์ที่มีการแจ้งให้ทราบล่วงหน้าเพียงประมาณ 48 ชั่วโมง “เป็นสิ่งที่ไม่เคยเกิดขึ้นมาก่อน” Scott Piper นักวิจัยด้านความปลอดภัยบนคลาวด์กล่าว. เนื่องจากอุปกรณ์ Ivanti เชื่อมโยงเครือข่ายขององค์กรเข้ากับอินเทอร์เน็ตในวงกว้าง การบุกรุกกล่องเหล่านี้หมายความว่าผู้โจมตีสามารถเข้าถึงบัญชีโดเมน ระบบคลาวด์ และทรัพยากรที่เชื่อมต่ออื่นๆ ได้ คำเตือนล่าสุดจาก Mandiant และ Volexity ว่ามีผู้คุกคามหลายราย ใช้ประโยชน์จากข้อบกพร่องในจำนวนมวล อาจเป็นไปได้ว่าเหตุใด CISA จึงยืนกรานที่จะถอดปลั๊กอุปกรณ์ออกทันที

CISA ให้คำแนะนำในการค้นหาตัวบ่งชี้การประนีประนอม (IoC) รวมถึงวิธีเชื่อมต่อทุกสิ่งกับเครือข่ายอีกครั้งหลังจากที่อุปกรณ์ถูกสร้างขึ้นมาใหม่ CISA ยังกล่าวอีกว่าจะให้ความช่วยเหลือด้านเทคนิคแก่หน่วยงานที่ไม่มีความสามารถภายในเพื่อดำเนินการเหล่านี้

หน่วยงานได้รับคำสั่งให้ดำเนินกิจกรรมตามล่าหาภัยคุกคามบนระบบที่เชื่อมต่อหรือเชื่อมต่อกับอุปกรณ์เมื่อเร็วๆ นี้ ตลอดจนแยกระบบออกจากทรัพยากรขององค์กร “ในระดับสูงสุดเท่าที่จะเป็นไปได้” พวกเขาควรตรวจสอบบริการการรับรองความถูกต้องหรือการจัดการข้อมูลประจำตัวใด ๆ ที่อาจถูกเปิดเผย และตรวจสอบบัญชีการเข้าถึงระดับสิทธิ์

วิธีการเชื่อมต่อเครื่องใช้ไฟฟ้าอีกครั้ง

อุปกรณ์ Ivanti ไม่สามารถเชื่อมต่อกับเครือข่ายอีกครั้งได้ แต่จำเป็นต้องสร้างและอัปเกรดใหม่เพื่อขจัดช่องโหว่และสิ่งใดก็ตามที่ผู้โจมตีอาจทิ้งไว้เบื้องหลัง

“หากมีการแสวงหาประโยชน์เกิดขึ้น เราเชื่อว่ามีแนวโน้มว่าผู้คุกคามได้ส่งออกการกำหนดค่าที่ทำงานอยู่ของคุณด้วยใบรับรองส่วนตัวที่โหลดบนเกตเวย์ในเวลาที่มีการโจมตี และทิ้งไฟล์ Web Shell ไว้เบื้องหลังซึ่งทำให้สามารถเข้าถึงแบ็คดอร์ได้ในอนาคต” Ivanti เขียนใน บทความฐานความรู้ที่อธิบายวิธีสร้างอุปกรณ์ใหม่. “เราเชื่อว่าวัตถุประสงค์ของ Web Shell นี้คือการจัดหาแบ็คดอร์ให้กับเกตเวย์หลังจากช่องโหว่ถูกบรรเทาลง ด้วยเหตุนี้เราจึงแนะนำให้ลูกค้าเพิกถอนและเปลี่ยนใบรับรองเพื่อป้องกันการใช้ประโยชน์เพิ่มเติมหลังจากการบรรเทาผลกระทบ”

  • เอเจนซี่ได้รับคำสั่งให้ส่งออกการตั้งค่าของอุปกรณ์ก่อน ทำการรีเซ็ตเป็นค่าเริ่มต้นจากโรงงาน จากนั้นจึงสร้างอุปกรณ์ใหม่

  • ซอฟต์แวร์ของอุปกรณ์ต้องได้รับการอัปเกรดผ่านพอร์ทัลดาวน์โหลดอย่างเป็นทางการเป็นเวอร์ชันใดเวอร์ชันหนึ่งต่อไปนี้: 9.1R18.3, 22.4R2.2, 22.5R1.1, 9.1R14.4 หรือ 9.1R17.2

  • เมื่อการอัพเกรดเสร็จสมบูรณ์ คุณสามารถนำเข้าการตั้งค่าการกำหนดค่ากลับไปยังอุปกรณ์ได้

สมมติฐานคืออุปกรณ์ถูกบุกรุก ดังนั้นขั้นตอนต่อไปคือการเพิกถอนและออกใบรับรอง คีย์ และรหัสผ่านที่เชื่อมต่อหรือเปิดเผยทั้งหมดใหม่ ซึ่งรวมถึงการรีเซ็ตรหัสผ่านการเปิดใช้งานของผู้ดูแลระบบ คีย์ API ที่เก็บไว้ และรหัสผ่านของผู้ใช้ภายในเครื่องใดๆ ที่กำหนดไว้บนเกตเวย์ เช่น บัญชีบริการที่ใช้สำหรับการกำหนดค่าเซิร์ฟเวอร์การตรวจสอบสิทธิ์

หน่วยงานต้องรายงานสถานะของขั้นตอนเหล่านี้ต่อ CISA ภายในวันที่ 5 กุมภาพันธ์ เวลา 11 น. EST

สมมติประนีประนอม

จะปลอดภัยกว่าที่จะถือว่าบริการและบัญชีโดเมนทั้งหมดที่เชื่อมต่อกับอุปกรณ์ถูกโจมตีและดำเนินการตามนั้น แทนที่จะพยายามเดาว่าระบบใดที่อาจตกเป็นเป้าหมาย ด้วยเหตุนี้ หน่วยงานจึงต้องรีเซ็ตรหัสผ่านสองครั้ง (รีเซ็ตรหัสผ่านสองครั้ง) สำหรับบัญชีภายในองค์กร เพิกถอนตั๋ว Kerberos และเพิกถอนโทเค็นสำหรับบัญชีคลาวด์ ต้องปิดใช้อุปกรณ์ที่เข้าร่วม/ลงทะเบียนบนคลาวด์จึงจะเพิกถอนโทเค็นของอุปกรณ์ได้

หน่วยงานจะต้องรายงานสถานะของตนในทุกขั้นตอนภายในวันที่ 1 มีนาคม เวลา 11 น. EST

ประทับเวลา:

เพิ่มเติมจาก การอ่านที่มืด