CISA хоче усунути пошкоджені урядові пристрої за 14 днів

Дослідники виявили сотні пристроїв, що працюють в державних мережах, які відкривають інтерфейси віддаленого керування у відкритому Інтернеті. Завдяки Агентству з кібербезпеки та безпеки інфраструктури (CISA) це швидко зміниться — можливо, занадто швидко, на думку деяких експертів.

13 червня CISA випустила Обов'язкова операційна директива (BOD) 23-02, з метою усунення відкритих для Інтернету інтерфейсів керування, які працюють на периферійних пристроях у мережах агентств Федеральної цивільної виконавчої влади (FCEB). Оголошення надійшло незабаром після цього Повідомлення CISA щодо Volt Typhoon, китайська державна розширена постійна загроза (APT), яка використовувала пристрої Fortinet FortiGuard у шпигунські кампанії проти державних установ США.

Щоб оцінити, наскільки значним буде BOD 23-02, Дослідники Censys просканували Інтернет для пристроїв, які відкривають інтерфейси керування в федеральна цивільна виконавча влада (FCEB) агентства. Сканування виявило майже 250 кваліфікованих пристроїв, а також низку інших мережевих уразливостей за межами BOD 23-02. 

«Хоча такий рівень впливу, ймовірно, не викликає негайної паніки, він все одно викликає занепокоєння, тому що це може бути лише вершиною айсберга», — каже Хімаджа Мотерам, дослідник безпеки Censys. «Це свідчить про те, що можуть бути глибші та критичніші проблеми з безпекою, якщо не дотримуватись базової гігієни».

Наскільки відкриті організації FCEB

Пристрої, які підпадають під BOD 23-02, включають маршрутизатори, комутатори, брандмауери, концентратори VPN, проксі-сервери, балансувальники навантаження, зовнішні інтерфейси керування серверами та інші, «для яких інтерфейси керування використовують мережеві протоколи для віддаленого керування». через загальнодоступний Інтернет», — пояснили в CISA — такі протоколи, як HTTP, FTP SMB та інші.

Дослідники Censys виявили сотні таких пристроїв, у тому числі різні пристрої Cisco Інтерфейси Adaptive Security Device Manager, інтерфейси маршрутизатора Cradlepoint та популярні брандмауери від Fortinet та  sonicwall. Вони також виявили понад 15 випадків відкритих протоколів віддаленого доступу, що працюють на пов’язаних з FCEB хостах.

Пошук був настільки щедрим, що вони навіть виявили багато вразливостей федеральної мережі, що виходять за рамки BOD 23-02, включно з інструменти передачі файлів, такі як GoAnywhere MFT та Перемістити його, викрив шлюзи електронної пошти Barracuda, а також різні екземпляри непрацюючого програмного забезпечення.

Організації часто не знають свого рівня впливу або не розуміють наслідків впливу. Motheram підкреслює, що незахищене спорядження було досить легко знайти. «І те, що для нас було тривіально знайти, чесно кажучи, мабуть, ще більш тривіально для аматорів-акторів загроз».

Як розкривають пристрої Edge

Як сталося, що так багато пристроїв виявлено в урядових мережах, які в іншому випадку ретельно перевіряються?

Джо Хед, технічний директор Intrusion, вказує на безліч причин, включаючи «зручність адміністратора, недостатню обізнаність про операційну безпеку, відсутність поваги до зловмисників, використання стандартних або відомих паролів і відсутність видимості».

Джеймс Кокран, директор із безпеки кінцевих точок у Tanium, додає, що «дефіцит персоналу може призвести до того, що перевантажені ІТ-команди будуть використовувати швидкі шляхи, щоб спростити керування мережею».

Подумайте також про унікальні для уряду пастки, які можуть погіршити проблему. «При невеликому нагляді та занепокоєнні щодо потенційних загроз пристрої можуть бути додані до мережі під виглядом «важливих», що звільняє їх від будь-якого контролю», — скаржиться Кокран. Агентства також можуть об’єднуватися або розширюватися, маючи прогалини в мережі та інтеграції безпеки. «З часом загальні мережі починають нагадувати щось із фільму «Божевільний Макс», де випадкові речі з’єднані разом, і ви не знаєте, чому».

Чи змінить ситуацію BOD ​​23-02?

У своїй директиві CISA вказав, що розпочне сканування пристроїв, які відповідають вимогам, і повідомить винні агентства. Після сповіщення агентства-порушники матимуть лише 14 днів, щоб або відключити ці пристрої від Інтернету, або «розгорнути можливості, як частину архітектури нульової довіри, яка забезпечує контроль доступу до інтерфейсу через точку примусового виконання політики, окрему від самого інтерфейсу. .”

Цей двотижневий період змусить відповідні агентства діяти швидко, щоб захистити свої системи. Але це може бути важко, визнає Матерам. «Теоретично видалити пристрої, які піддаються доступу до Інтернету, має бути просто, але це не завжди так. Під час зміни політики доступу може виникнути певна бюрократія, яка додає тертя», – пояснює вона.

Інші вважають цей тягар непоправним. «Це не відповідальний графік», — каже Кокран. «Оскільки проблема настільки поширена, я очікую, що це матиме значний вплив на визначені агентства. Це те саме, що намагатися розплутати купу дротів, перепилявши їх».

Інші схвалюють безглуздий підхід CISA. «Важко придумати часовий графік, щоб припинити робити те, чого ніколи не слід було робити», — каже Хед, стверджуючи, що 14 днів може бути надто довго чекати. «П’ять хвилин було б доцільніше, оскільки менеджери доручають коригувати зміни мережі. Протягом багатьох років стандартною практикою було не надавати інтерфейси керування загальнодоступному Інтернету, тому зробити це обов’язковим є розумним і розумним».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
• джерело: https://www.darkreading.com/attacks-breaches/cisa-wants-exposed-government-devices-remediated-14-days