หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ให้เวลา 48 ชั่วโมงแก่หน่วยงาน Federal Civilian Executive Branch เพื่อดึงอุปกรณ์ Ivanti ทั้งหมดที่ใช้งานบนเครือข่ายของรัฐบาลกลางออก เนื่องจากมีข้อกังวลว่า ผู้คุกคามหลายรายกำลังใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยหลายประการ ในระบบเหล่านี้ คำสั่งดังกล่าวเป็นส่วนหนึ่งของแนวทางเพิ่มเติมที่มาพร้อมกับคำสั่งฉุกเฉินของสัปดาห์ที่แล้ว (ED 24-01)
นักวิจัยด้านความปลอดภัยกล่าวว่าผู้โจมตีทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐจีนที่รู้จักกันในชื่อ UNC5221 ได้ใช้ประโยชน์จากช่องโหว่อย่างน้อยสองรายการทั้งในรูปแบบซีโรเดย์และนับตั้งแต่เปิดเผยเมื่อต้นเดือนมกราคม ซึ่งเป็นการบายพาสการรับรองความถูกต้อง (CVE-2023-46895) และคำสั่งฉีด (CVE-2024-21887) ข้อบกพร่อง — ใน Ivanti Connect Secure นอกจากนี้ Ivanti กล่าวในสัปดาห์นี้ว่ามีการปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์ (CVE-2024-21893) มีการใช้ข้อบกพร่องในการโจมตีแบบ "กำหนดเป้าหมาย" เป็นแบบ Zero Day แล้ว และได้เปิดเผยช่องโหว่ในการยกระดับสิทธิ์ในองค์ประกอบเว็บของ Ivanti Connect Secure และ Ivanti Policy Secure (CVE-2024-21888) ที่ยังไม่มีใครสังเกตเห็นจากการโจมตีในป่า
“หน่วยงานที่ใช้งานผลิตภัณฑ์ Ivanti Connect Secure หรือ Ivanti Policy Secure ที่ได้รับผลกระทบจะต้องดำเนินการต่อไปนี้ทันที: โดยเร็วที่สุดและไม่ช้ากว่า 11 น. ของวันศุกร์ที่ 59 กุมภาพันธ์ 2 ให้ยกเลิกการเชื่อมต่ออินสแตนซ์ทั้งหมดของ Ivanti Connect Secure และ Ivanti Policy Secure ผลิตภัณฑ์โซลูชั่นจากเครือข่ายตัวแทน” CISA เขียนในแนวทางเพิ่มเติม.
คำสั่งของ CISA ใช้กับหน่วยงาน 102 แห่งที่ระบุว่าเป็น “หน่วยงานสาขาบริหารพลเรือนของรัฐบาลกลาง,” รายชื่อซึ่งรวมถึงกระทรวงความมั่นคงแห่งมาตุภูมิ กระทรวงพลังงาน กระทรวงการต่างประเทศ สำนักงานบริหารงานบุคคล และสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (แต่ไม่ใช่กระทรวงกลาโหม)
ขอแนะนำอย่างยิ่งให้องค์กรเอกชนที่มีอุปกรณ์ Ivanti ในสภาพแวดล้อมของตนจัดลำดับความสำคัญในการทำตามขั้นตอนเดียวกันนี้เพื่อปกป้องเครือข่ายของตนจากการแสวงหาประโยชน์ที่อาจเกิดขึ้น
Ivanti VPN ความเสี่ยงทางไซเบอร์: ฉีกมันออกไปให้หมด
คำแนะนำในการยกเลิกการเชื่อมต่อ ไม่ใช่แพทช์ ผลิตภัณฑ์ที่มีการแจ้งให้ทราบล่วงหน้าเพียงประมาณ 48 ชั่วโมง “เป็นสิ่งที่ไม่เคยเกิดขึ้นมาก่อน” Scott Piper นักวิจัยด้านความปลอดภัยบนคลาวด์กล่าว. เนื่องจากอุปกรณ์ Ivanti เชื่อมโยงเครือข่ายขององค์กรเข้ากับอินเทอร์เน็ตในวงกว้าง การบุกรุกกล่องเหล่านี้หมายความว่าผู้โจมตีสามารถเข้าถึงบัญชีโดเมน ระบบคลาวด์ และทรัพยากรที่เชื่อมต่ออื่นๆ ได้ คำเตือนล่าสุดจาก Mandiant และ Volexity ว่ามีผู้คุกคามหลายราย ใช้ประโยชน์จากข้อบกพร่องในจำนวนมวล อาจเป็นไปได้ว่าเหตุใด CISA จึงยืนกรานที่จะถอดปลั๊กอุปกรณ์ออกทันที
CISA ให้คำแนะนำในการค้นหาตัวบ่งชี้การประนีประนอม (IoC) รวมถึงวิธีเชื่อมต่อทุกสิ่งกับเครือข่ายอีกครั้งหลังจากที่อุปกรณ์ถูกสร้างขึ้นมาใหม่ CISA ยังกล่าวอีกว่าจะให้ความช่วยเหลือด้านเทคนิคแก่หน่วยงานที่ไม่มีความสามารถภายในเพื่อดำเนินการเหล่านี้
หน่วยงานได้รับคำสั่งให้ดำเนินกิจกรรมตามล่าหาภัยคุกคามบนระบบที่เชื่อมต่อหรือเชื่อมต่อกับอุปกรณ์เมื่อเร็วๆ นี้ ตลอดจนแยกระบบออกจากทรัพยากรขององค์กร “ในระดับสูงสุดเท่าที่จะเป็นไปได้” พวกเขาควรตรวจสอบบริการการรับรองความถูกต้องหรือการจัดการข้อมูลประจำตัวใด ๆ ที่อาจถูกเปิดเผย และตรวจสอบบัญชีการเข้าถึงระดับสิทธิ์
วิธีการเชื่อมต่อเครื่องใช้ไฟฟ้าอีกครั้ง
อุปกรณ์ Ivanti ไม่สามารถเชื่อมต่อกับเครือข่ายอีกครั้งได้ แต่จำเป็นต้องสร้างและอัปเกรดใหม่เพื่อขจัดช่องโหว่และสิ่งใดก็ตามที่ผู้โจมตีอาจทิ้งไว้เบื้องหลัง
“หากมีการแสวงหาประโยชน์เกิดขึ้น เราเชื่อว่ามีแนวโน้มว่าผู้คุกคามได้ส่งออกการกำหนดค่าที่ทำงานอยู่ของคุณด้วยใบรับรองส่วนตัวที่โหลดบนเกตเวย์ในเวลาที่มีการโจมตี และทิ้งไฟล์ Web Shell ไว้เบื้องหลังซึ่งทำให้สามารถเข้าถึงแบ็คดอร์ได้ในอนาคต” Ivanti เขียนใน บทความฐานความรู้ที่อธิบายวิธีสร้างอุปกรณ์ใหม่. “เราเชื่อว่าวัตถุประสงค์ของ Web Shell นี้คือการจัดหาแบ็คดอร์ให้กับเกตเวย์หลังจากช่องโหว่ถูกบรรเทาลง ด้วยเหตุนี้เราจึงแนะนำให้ลูกค้าเพิกถอนและเปลี่ยนใบรับรองเพื่อป้องกันการใช้ประโยชน์เพิ่มเติมหลังจากการบรรเทาผลกระทบ”
-
เอเจนซี่ได้รับคำสั่งให้ส่งออกการตั้งค่าของอุปกรณ์ก่อน ทำการรีเซ็ตเป็นค่าเริ่มต้นจากโรงงาน จากนั้นจึงสร้างอุปกรณ์ใหม่
-
ซอฟต์แวร์ของอุปกรณ์ต้องได้รับการอัปเกรดผ่านพอร์ทัลดาวน์โหลดอย่างเป็นทางการเป็นเวอร์ชันใดเวอร์ชันหนึ่งต่อไปนี้: 9.1R18.3, 22.4R2.2, 22.5R1.1, 9.1R14.4 หรือ 9.1R17.2
-
เมื่อการอัพเกรดเสร็จสมบูรณ์ คุณสามารถนำเข้าการตั้งค่าการกำหนดค่ากลับไปยังอุปกรณ์ได้
สมมติฐานคืออุปกรณ์ถูกบุกรุก ดังนั้นขั้นตอนต่อไปคือการเพิกถอนและออกใบรับรอง คีย์ และรหัสผ่านที่เชื่อมต่อหรือเปิดเผยทั้งหมดใหม่ ซึ่งรวมถึงการรีเซ็ตรหัสผ่านการเปิดใช้งานของผู้ดูแลระบบ คีย์ API ที่เก็บไว้ และรหัสผ่านของผู้ใช้ภายในเครื่องใดๆ ที่กำหนดไว้บนเกตเวย์ เช่น บัญชีบริการที่ใช้สำหรับการกำหนดค่าเซิร์ฟเวอร์การตรวจสอบสิทธิ์
หน่วยงานต้องรายงานสถานะของขั้นตอนเหล่านี้ต่อ CISA ภายในวันที่ 5 กุมภาพันธ์ เวลา 11 น. EST
สมมติประนีประนอม
จะปลอดภัยกว่าที่จะถือว่าบริการและบัญชีโดเมนทั้งหมดที่เชื่อมต่อกับอุปกรณ์ถูกโจมตีและดำเนินการตามนั้น แทนที่จะพยายามเดาว่าระบบใดที่อาจตกเป็นเป้าหมาย ด้วยเหตุนี้ หน่วยงานจึงต้องรีเซ็ตรหัสผ่านสองครั้ง (รีเซ็ตรหัสผ่านสองครั้ง) สำหรับบัญชีภายในองค์กร เพิกถอนตั๋ว Kerberos และเพิกถอนโทเค็นสำหรับบัญชีคลาวด์ ต้องปิดใช้อุปกรณ์ที่เข้าร่วม/ลงทะเบียนบนคลาวด์จึงจะเพิกถอนโทเค็นของอุปกรณ์ได้
หน่วยงานจะต้องรายงานสถานะของตนในทุกขั้นตอนภายในวันที่ 1 มีนาคม เวลา 11 น. EST
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/vulnerabilities-threats/cisa-orders-disconnecting-ivanti-vpn-appliances-what-to-do
- :มี
- :เป็น
- :ไม่
- 1
- 10
- 11
- 12
- 2024
- 22
- 7
- 8
- 9
- a
- เข้า
- ตาม
- บัญชี
- ข้าม
- กระทำ
- การปฏิบัติ
- อย่างกระตือรือร้น
- กิจกรรม
- นักแสดง
- นอกจากนี้
- ผู้ดูแลระบบ
- ได้รับผล
- หลังจาก
- หน่วยงานที่
- บริษัท ตัวแทน
- ทั้งหมด
- แล้ว
- ด้วย
- an
- และ
- และโครงสร้างพื้นฐาน
- ใด
- สิ่งใด
- API
- คีย์ API
- เครื่องใช้
- มีผลบังคับใช้
- เป็น
- บทความ
- AS
- ความช่วยเหลือ
- สมมติ
- ข้อสมมติ
- At
- การโจมตี
- การตรวจสอบบัญชี
- รับรองความถูกต้อง
- การยืนยันตัวตน
- ไป
- กลับ
- ประตูหลัง
- BE
- เพราะ
- รับ
- หลัง
- เชื่อ
- ทั้งสอง
- ในกล่องสี่เหลี่ยม
- สาขา
- สะพาน
- ที่กว้างขึ้น
- แต่
- by
- ทางอ้อม
- CAN
- ไม่ได้
- ความสามารถในการ
- พกพา
- ใบรับรอง
- ชาวจีน
- วงกลม
- พลเรือน
- เมฆ
- ความปลอดภัยบนคลาวด์
- คณะกรรมาธิการ
- สมบูรณ์
- ส่วนประกอบ
- การประนีประนอม
- ที่ถูกบุกรุก
- ประนีประนอม
- ความกังวลเกี่ยวกับ
- องค์ประกอบ
- เชื่อมต่อ
- งานที่เชื่อมต่อ
- ต่อ
- ได้
- ลูกค้า
- cybersecurity
- วัน
- ป้องกัน
- กำหนด
- องศา
- แผนก
- กระทรวงกลาโหม
- กรมความมั่นคงภายในประเทศ
- เครื่อง
- อุปกรณ์
- ทิศทาง
- พิการ
- การเปิดเผย
- ตัดการเชื่อมต่อ
- do
- โดเมน
- สอง
- ดาวน์โหลด
- ก่อน
- ed
- กรณีฉุกเฉิน
- ทำให้สามารถ
- การเปิดใช้งาน
- พลังงาน
- Enterprise
- หน่วยงาน
- สภาพแวดล้อม
- ทุกอย่าง
- ตลาดแลกเปลี่ยน
- ผู้บริหารงาน
- อธิบาย
- เอาเปรียบ
- การแสวงหาผลประโยชน์
- ใช้ประโยชน์
- การใช้ประโยชน์จาก
- ส่งออก
- ที่เปิดเผย
- โรงงาน
- กุมภาพันธ์
- กุมภาพันธ์
- รัฐบาลกลาง
- เนื้อไม่มีมัน
- ชื่อจริง
- ข้อบกพร่อง
- ข้อบกพร่อง
- ดังต่อไปนี้
- สำหรับ
- การปลอม
- วันศุกร์
- ราคาเริ่มต้นที่
- ต่อไป
- อนาคต
- เกตเวย์
- กำหนด
- ใหญ่ที่สุด
- เดา
- มี
- บ้านเกิดเมืองนอน
- ความมั่นคงแห่งมาตุภูมิ
- ชั่วโมง
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- HTTPS
- ICON
- เอกลักษณ์
- การจัดการข้อมูลประจำตัว
- if
- ทันที
- in
- รวมถึง
- ตัวชี้วัด
- โครงสร้างพื้นฐาน
- คำแนะนำการใช้
- ภายใน
- อินเทอร์เน็ต
- IT
- ITS
- มกราคม
- jpg
- เพียงแค่
- กุญแจ
- ที่รู้จักกัน
- ชื่อสกุล
- ต่อมา
- น้อยที่สุด
- ซ้าย
- น่าจะ
- รายการ
- จดทะเบียน
- ในประเทศ
- ที่ต้องการหา
- การจัดการ
- มีนาคม
- มีนาคม
- มวล
- อาจ..
- วิธี
- การบรรเทา
- การตรวจสอบ
- หลาย
- ต้อง
- จำเป็นต้อง
- จำเป็น
- เครือข่าย
- เครือข่าย
- ถัดไป
- NIST
- ไม่
- สังเกต..
- ตัวเลข
- ที่เกิดขึ้น
- of
- Office
- เป็นทางการ
- on
- ONE
- ไปยัง
- or
- ใบสั่ง
- คำสั่งซื้อ
- organizacja
- อื่นๆ
- ออก
- เกิน
- ส่วนหนึ่ง
- รหัสผ่าน
- รีเซ็ตรหัสผ่าน
- รหัสผ่าน
- ปะ
- ดำเนินการ
- บุคลากร
- ทางร่างกาย
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- นโยบาย
- พอร์ทัล
- เป็นไปได้
- ที่มีศักยภาพ
- ที่อาจเกิดขึ้น
- ป้องกัน
- จัดลำดับความสำคัญ
- ส่วนตัว
- ผลิตภัณฑ์
- ป้องกัน
- ให้
- ให้
- วัตถุประสงค์
- เหตุผล
- เมื่อเร็ว ๆ นี้
- เมื่อเร็ว ๆ นี้
- แนะนำ
- แนะนำ
- เชื่อมต่อ
- เอาออก
- แทนที่
- รายงาน
- ขอ
- จำเป็นต้องใช้
- นักวิจัย
- นักวิจัย
- แหล่งข้อมูล
- ขวา
- ลวก
- วิ่ง
- s
- ปลอดภัยมากขึ้น
- กล่าวว่า
- เดียวกัน
- กล่าว
- สกอตต์
- ปลอดภัย
- หลักทรัพย์
- สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์
- ความปลอดภัย
- เซิร์ฟเวอร์
- บริการ
- บริการ
- การตั้งค่า
- เปลือก
- น่า
- ตั้งแต่
- So
- ซอฟต์แวร์
- ทางออก
- ในไม่ช้า
- ผู้ให้การสนับสนุน
- สถานะ
- สหรัฐอเมริกา
- Status
- ขั้นตอน
- ขั้นตอน
- เก็บไว้
- เสถียร
- อย่างเช่น
- ระบบ
- นำ
- การ
- เป้าหมาย
- งาน
- วิชาการ
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- แล้วก็
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- นี้
- ในสัปดาห์นี้
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ตลอด
- บัตรเข้าชม
- เวลา
- ไปยัง
- ราชสกุล
- พยายาม
- สองครั้ง
- สอง
- พร้อมใจกัน
- ประเทศสหรัฐอเมริกา
- เป็นประวัติการณ์
- อัพเกรด
- อัพเกรด
- ใช้
- มือสอง
- ผู้ใช้งาน
- รุ่น
- VPN
- ช่องโหว่
- ความอ่อนแอ
- คือ
- we
- เว็บ
- สัปดาห์
- ดี
- คือ
- อะไร
- ที่
- ทำไม
- ป่า
- จะ
- กับ
- ไม่มี
- เขียน
- ยัง
- ของคุณ
- ลมทะเล
- เป็นศูนย์
- ศูนย์วัน