Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Sivil Yürütme Organı kurumlarına, federal ağlarda kullanılan tüm Ivanti cihazlarını ortadan kaldırmaları için 48 saat süre verdi. birden fazla tehdit aktörü birden fazla güvenlik açığından aktif olarak yararlanıyor bu sistemlerde. Emir, geçen haftanın acil durum direktifine (ED 24-01) eşlik eden ek talimatın bir parçasıdır.
Güvenlik araştırmacıları, UNC5221 olarak bilinen Çin devlet destekli siber saldırganların, hem sıfır gün olarak hem de Ocak ayının başındaki açıklamadan bu yana en az iki güvenlik açığından yararlandığını söylüyor - kimlik doğrulama bypass'ı (CVE-2023-46895) ve bir komut enjeksiyonu (CVE-2024-21887) kusur — Ivanti Connect Secure'da. Buna ek olarak Ivanti, bu hafta sunucu tarafında sahtecilik talebinde bulunulduğunu söyledi (CVE-2024-21893) kusur zaten "hedefli" saldırılarda sıfır gün olarak kullanılmış ve Ivanti Connect Secure ve Ivanti Policy Secure'un Web bileşeninde bir ayrıcalık yükseltme güvenlik açığı ortaya çıkarmıştır (CVE-2024-21888) vahşi doğada saldırılarda henüz gözlemlenmeyen bir şey.
"Etkilenen Ivanti Connect Secure veya Ivanti Policy Secure ürünlerini çalıştıran acentelerin aşağıdaki görevleri derhal yerine getirmesi gerekmektedir: Mümkün olan en kısa sürede ve en geç 11 Şubat 59 Cuma günü saat 2:2024'a kadar Ivanti Connect Secure ve Ivanti Policy Secure örneklerinin bağlantısını kesin acente ağlarından çözüm ürünleri” CISA tamamlayıcı yönde yazdı.
CISA'nın direktifi şu şekilde sıralanan 102 kurum için geçerlidir:federal sivil yürütme organı kurumlarıİç Güvenlik Bakanlığı, Enerji Bakanlığı, Dışişleri Bakanlığı, Personel Yönetimi Ofisi ve Menkul Kıymetler ve Borsa Komisyonu'nu (ancak Savunma Bakanlığı hariç) içeren bir liste.
Ortamlarında Ivanti cihazları bulunan özel kuruluşların, ağlarını potansiyel istismardan korumak için aynı adımları atmaya öncelik vermeleri şiddetle tavsiye edilir.
Ivanti VPN Siber Riski: Her Şeyi Ortadan Kaldırın
Yaklaşık 48 saat öncesinden bildirimde bulunularak ürünlerin yama yerine bağlantılarının kesilmesi talimatının "benzeri görülmemiş bir durum" olduğu belirtiliyor. Ünlü bulut güvenliği araştırmacısı Scott Piper. Ivanti cihazları kuruluşun ağını daha geniş İnternet'e bağladığından, bu kutuların tehlikeye atılması, saldırganların potansiyel olarak etki alanı hesaplarına, bulut sistemlerine ve diğer bağlı kaynaklara erişebileceği anlamına gelir. Mandiant ve Volexity'nin birden fazla tehdit aktörünün bulunduğuna dair son uyarıları Kütle sayılarındaki kusurlardan faydalanmak Muhtemelen CISA'nın cihazların fiziksel olarak bağlantısını hemen kesmekte ısrar etmesinin nedeni budur.
CISA, güvenlik ihlali göstergelerinin (IoC'ler) aranmasına ve cihazlar yeniden oluşturulduktan sonra her şeyin ağlara nasıl yeniden bağlanacağına ilişkin talimatlar sağladı. CISA ayrıca, bu eylemleri gerçekleştirmek için iç kapasiteye sahip olmayan kurumlara teknik yardım sağlayacağını da belirtti.
Kurumlara, cihazlara bağlı veya yakın zamanda bağlanmış sistemler üzerinde tehdit avlama faaliyetlerine devam etmeleri ve sistemleri kurumsal kaynaklardan "mümkün olan en yüksek derecede" izole etmeleri talimatı verildi. Ayrıca açığa çıkmış olabilecek tüm kimlik doğrulama veya kimlik yönetimi hizmetlerini izlemeli ve ayrıcalık düzeyindeki erişim hesaplarını denetlemelidirler.
Cihazlar Nasıl Yeniden Bağlanır
Ivanti cihazlarının ağa yeniden bağlanması mümkün değil; güvenlik açıklarını ve saldırganların geride bırakmış olabileceği her şeyi ortadan kaldırmak için yeniden oluşturulmaları ve yükseltilmeleri gerekiyor.
Ivanti, "Eğer bir istismar meydana geldiyse, tehdit aktörünün, istismar sırasında ağ geçidine yüklenen özel sertifikalarla birlikte çalışan konfigürasyonlarınızın bir dışa aktarımını almış ve arkasında gelecekte arka kapıdan erişim sağlayan bir Web kabuk dosyası bırakmış olabileceğini düşünüyoruz" dedi. bir şekilde yazdı Cihazın nasıl yeniden oluşturulacağını açıklayan bilgi bankası makalesi. "Bu Web kabuğunun amacının, güvenlik açığı azaltıldıktan sonra ağ geçidine bir arka kapı sağlamak olduğuna inanıyoruz; bu nedenle, güvenlik açığının azaltılmasının ardından daha fazla istismarın önlenmesi için müşterilerimize sertifikaları iptal etmelerini ve değiştirmelerini öneriyoruz."
-
Ajanslara öncelikle cihazın yapılandırma ayarlarını dışa aktarmaları, fabrika ayarlarına sıfırlama yapmaları ve ardından cihazı yeniden oluşturmaları talimatı verilir.
-
Cihazın yazılımının resmi indirme portalı aracılığıyla aşağıdaki sürümlerden birine yükseltilmesi gerekir: 9.1R18.3, 22.4R2.2, 22.5R1.1, 9.1R14.4 veya 9.1R17.2.
-
Yükseltme tamamlandıktan sonra yapılandırma ayarları cihaza geri aktarılabilir.
Varsayım, cihazların güvenliğinin ihlal edildiği yönündedir; bu nedenle bir sonraki adım, bağlı veya açığa çıkan tüm sertifikaları, anahtarları ve parolaları iptal edip yeniden düzenlemektir. Bu, yönetici etkinleştirme parolasının, depolanan API anahtarlarının ve kimlik doğrulama sunucusu yapılandırması için kullanılan hizmet hesapları gibi ağ geçidinde tanımlanan herhangi bir yerel kullanıcının parolasının sıfırlanmasını içerir.
Ajansların bu adımların durumunu 5 Şubat 11:59 EST'ye kadar CISA'ya bildirmesi gerekiyor.
Uzlaşmayı Varsayın
Cihazlara bağlı tüm hizmetlerin ve etki alanı hesaplarının ele geçirildiğini varsaymak ve buna göre hareket etmek, hangi sistemlerin hedef alındığını tahmin etmeye çalışmaktan daha güvenlidir. Bu nedenle ajansların şirket içi hesaplar için şifreleri iki kez sıfırlaması (çift şifre sıfırlama), Kerberos biletlerini iptal etmesi ve bulut hesapları için belirteçleri iptal etmesi gerekir. Cihaz belirteçlerinin iptal edilmesi için buluta katılmış/kayıtlı cihazların devre dışı bırakılması gerekiyordu.
Ajansların 1 Mart saat 11:59 EST'ye kadar tüm adımlardaki durumlarını bildirmeleri gerekmektedir.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/vulnerabilities-threats/cisa-orders-disconnecting-ivanti-vpn-appliances-what-to-do
- :vardır
- :dır-dir
- :olumsuzluk
- 1
- 10
- 11
- 12
- 2024
- 22
- 7
- 8
- 9
- a
- erişim
- göre
- Hesaplar
- karşısında
- Hareket
- eylemler
- aktif
- faaliyetler
- aktörler
- ilave
- Gizem
- etkilenmiş
- Sonra
- ajansları
- ajans
- Türkiye
- zaten
- Ayrıca
- an
- ve
- ve altyapı
- herhangi
- bir şey
- api
- API ANAHTARLARI
- aletleri
- geçerlidir
- ARE
- göre
- AS
- Yardım
- üstlenmek
- varsayımı
- At
- saldırılar
- denetim
- auth
- Doğrulama
- uzakta
- Arka
- arka kapı
- BE
- Çünkü
- olmuştur
- arkasında
- Inanmak
- her ikisi de
- kutular
- şube
- KÖPRÜ
- Daha geniş
- fakat
- by
- baypas
- CAN
- yapamam
- yetenekleri
- taşımak
- sertifikalar
- Çince
- Daire
- sivil
- bulut
- Bulut Güvenlik
- alın
- tamamlamak
- bileşen
- uzlaşma
- Uzlaşılmış
- ödün
- Endişeler
- yapılandırma
- Sosyal medya
- bağlı
- devam etmek
- olabilir
- Müşteriler
- Siber güvenlik
- gün
- Savunma
- tanımlı
- derece
- bölüm
- savunma Bakanlığı
- iç güvenlik bakanlığı
- cihaz
- Cihaz
- yön
- özürlü
- ifşa
- bağlantısız
- do
- domain
- çift
- indir
- Erken
- ed
- acil durum
- etkinleştirmek
- etkinleştirme
- enerji
- kuruluş
- kişiler
- ortamları
- her şey
- takas
- yürütme
- açıklayan
- sömürmek
- istismar
- sömürülen
- sömürme
- ihracat
- maruz
- fabrika
- Şubat ayında
- Şubat
- Federal
- fileto
- Ad
- kusur
- kusurları
- takip etme
- İçin
- sahtecilik
- Cuma
- itibaren
- daha fazla
- gelecek
- geçit
- verilmiş
- En büyük
- tahmin
- Var
- vatan
- Anayurt Güvenliği
- SAAT
- Ne kadar
- Nasıl Yapılır
- HTTPS
- ICON
- Kimlik
- kimlik yönetimi
- if
- hemen
- in
- içerir
- göstergeler
- Altyapı
- talimatlar
- iç
- Internet
- IT
- ONUN
- Ocak
- jpg
- sadece
- anahtarlar
- bilinen
- Soyad
- sonra
- en az
- sol
- Muhtemelen
- Liste
- Listelenmiş
- yerel
- bakıyor
- yönetim
- Mart
- Mart 1
- Kitle
- Mayıs..
- anlamına geliyor
- hafifletme
- izlemek
- çoklu
- şart
- gerek
- gerekli
- ağ
- ağlar
- sonraki
- NiST
- yok hayır
- Fark etme..
- sayılar
- oluştu
- of
- Office
- resmi
- on
- ONE
- üstüne
- or
- sipariş
- emir
- kuruluşlar
- Diğer
- dışarı
- tekrar
- Bölüm
- Şifre
- parola sıfırlama
- şifreleri
- Patch
- Yapmak
- personel
- fiziksel olarak
- Platon
- Plato Veri Zekası
- PlatoVeri
- politika
- Portal
- mümkün
- potansiyel
- potansiyel
- önlemek
- Öncelik
- özel
- Ürünler
- korumak
- sağlamak
- sağlanan
- amaç
- neden
- son
- geçenlerde
- Tavsiye edilen
- tavsiye
- yeniden
- Kaldır
- değiştirmek
- rapor
- talep
- gereklidir
- araştırmacı
- Araştırmacılar
- Kaynaklar
- krallar gibi yaşamaya
- kabaca
- koşu
- s
- daha güvenli
- Adı geçen
- aynı
- söylemek
- Scott
- güvenli
- Senetler
- Menkul Kıymetler ve Borsa Komisyonu
- güvenlik
- sunucu
- hizmet
- Hizmetler
- ayarlar
- Kabuk
- meli
- beri
- So
- Yazılım
- çözüm
- yakında
- Sponsor
- Eyalet
- Devletler
- Durum
- adım
- Basamaklar
- saklı
- şiddetle
- böyle
- Sistemler
- alınan
- alma
- Hedeflenen
- görevleri
- Teknik
- göre
- o
- The
- ve bazı Asya
- sonra
- Bunlar
- onlar
- Re-Tweet
- Bu hafta
- tehdit
- tehdit aktörleri
- İçinden
- bilet
- zaman
- için
- Jeton
- çalışıyor
- Iki kere
- iki
- Birleşik
- USA
- eşi görülmemiş
- yükseltmek
- yükseltilmiş
- kullanım
- Kullanılmış
- kullanıcı
- sürümler
- VPN
- güvenlik açıkları
- güvenlik açığı
- oldu
- we
- ağ
- hafta
- İYİ
- vardı
- Ne
- hangi
- neden
- Vahşi
- irade
- ile
- olmadan
- yazdı
- henüz
- zefirnet
- sıfır
- Zero Day