CISA muốn các thiết bị của chính phủ bị lộ được khắc phục sau 14 ngày

CISA muốn các thiết bị của chính phủ bị lộ được khắc phục sau 14 ngày

Dấu thời gian: ngày 29 tháng 2023 năm 5 20:XNUMX CH
CISA muốn các thiết bị của chính phủ bị lộ được khắc phục sau 14 ngày Thông tin dữ liệu PlatoBlockchain. Tìm kiếm dọc. Ái.

Các nhà nghiên cứu đã phát hiện ra hàng trăm thiết bị chạy trên các mạng của chính phủ để lộ các giao diện quản lý từ xa trên Web mở. Nhờ Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA), điều đó sẽ thay đổi nhanh chóng — có thể là quá nhanh, theo một số chuyên gia.

Vào ngày 13 tháng XNUMX, CISA đã phát hành Chỉ thị Hoạt động Ràng buộc (HĐQT) 23-02, với mục tiêu loại bỏ các giao diện quản lý tiếp xúc với Internet chạy trên các thiết bị biên trong mạng cơ quan Chi nhánh Hành pháp Dân sự Liên bang (FCEB). Thông báo được đưa ra ngay sau đó Khuyến cáo của CISA về bão Volt, mối đe dọa liên tục nâng cao (APT) do nhà nước Trung Quốc hậu thuẫn đã tận dụng các thiết bị Fortinet FortiGuard trong các chiến dịch gián điệp chống lại các thực thể chính phủ Hoa Kỳ.

Để đánh giá mức độ đáng kể của BOD 23-02, các nhà nghiên cứu tại Censys đã quét Internet cho các thiết bị hiển thị giao diện quản lý trong cơ quan hành pháp dân sự liên bang (FCEB) cơ quan. Quá trình quét cho thấy gần 250 thiết bị đủ điều kiện, cũng như một số lỗ hổng mạng khác nằm ngoài phạm vi của BOD 23-02. 

Himaja Motheram, nhà nghiên cứu bảo mật của Censys cho biết: “Mặc dù mức độ phơi nhiễm này có thể không gây ra sự hoảng loạn ngay lập tức, nhưng nó vẫn đáng lo ngại vì nó có thể chỉ là phần nổi của tảng băng chìm”. “Điều đó cho thấy rằng có thể có những vấn đề an ninh nghiêm trọng và sâu sắc hơn nếu loại vệ sinh cơ bản này không được đáp ứng.”

Các tổ chức FCEB tiếp xúc như thế nào

Các thiết bị đủ điều kiện theo BOD 23-02 bao gồm bộ định tuyến, bộ chuyển mạch, tường lửa, bộ tập trung VPN, proxy, bộ cân bằng tải, giao diện quản lý máy chủ ngoài băng tần và bất kỳ thiết bị nào khác “mà giao diện quản lý đang sử dụng giao thức mạng để quản lý từ xa”. qua Internet công cộng,” CISA giải thích — các giao thức như HTTP, FTP SMB và các giao thức khác.

Các nhà nghiên cứu của Censys đã phát hiện ra hàng trăm thiết bị như vậy, bao gồm nhiều thiết bị khác nhau của Cisco để lộ Giao diện Adaptive Security Device Manager, Giao diện bộ định tuyến Cradlepoint và các sản phẩm tường lửa phổ biến của Fortinet và Âm thanh. Họ cũng tìm thấy hơn 15 trường hợp giao thức truy cập từ xa bị lộ đang chạy trên các máy chủ liên quan đến FCEB.

Quá trình tìm kiếm phong phú đến mức họ thậm chí còn phát hiện ra nhiều lỗ hổng mạng liên bang nằm ngoài phạm vi của BOD 23-02, bao gồm các công cụ truyền tệp bị lộ như GoAnywhere MFTDi chuyển nó, cổng bảo mật email Barracuda bị lộvà các trường hợp khác nhau của phần mềm không còn tồn tại.

Các tổ chức thường không biết mức độ phơi nhiễm của họ hoặc không hiểu ý nghĩa của việc phơi nhiễm. Motheram nhấn mạnh rằng các thiết bị không được bảo vệ khá dễ tìm. “Thành thật mà nói, điều tầm thường mà chúng tôi tìm thấy có lẽ còn tầm thường hơn đối với những kẻ đe dọa nghiệp dư ngoài kia.”

Làm thế nào các thiết bị cạnh được tiếp xúc

Làm thế nào mà rất nhiều thiết bị được tiếp xúc trên các mạng của chính phủ được xem xét kỹ lưỡng?

Joe Head, CTO của Intrusion, chỉ ra một số lý do, bao gồm “sự thuận tiện của quản trị viên, thiếu nhận thức về bảo mật hoạt động, thiếu tôn trọng đối thủ, sử dụng mật khẩu mặc định hoặc đã biết và thiếu khả năng hiển thị”.

James Cochran, giám đốc bảo mật điểm cuối tại Tanium, cho biết thêm rằng “tình trạng thiếu nhân sự có thể khiến các nhóm CNTT làm việc quá sức phải tìm các lối tắt để họ có thể giúp việc quản lý mạng dễ dàng hơn”.

Cũng hãy xem xét những cái bẫy độc nhất của chính phủ có thể khiến vấn đề trở nên tồi tệ hơn. Cochran than thở: “Với rất ít sự giám sát và lo ngại về các mối đe dọa tiềm ẩn, các thiết bị có thể được thêm vào mạng dưới chiêu bài là 'nhiệm vụ quan trọng', điều này giúp chúng không bị giám sát kỹ lưỡng". Các cơ quan cũng có thể hợp nhất hoặc mở rộng, với những lỗ hổng trong mạng lưới và tích hợp bảo mật của họ. “Theo thời gian, các mạng tổng thể bắt đầu giống thứ gì đó trong phim Mad Max, nơi mọi thứ ngẫu nhiên được gắn kết với nhau và bạn không chắc tại sao.”

Liệu BOD 23-02 có xoay chuyển tình thế?

Trong chỉ thị của mình, CISA chỉ ra rằng họ sẽ bắt đầu quét các thiết bị đủ tiêu chuẩn và thông báo cho các cơ quan có tội. Sau khi thông báo, các cơ quan vi phạm sẽ chỉ có 14 ngày để ngắt kết nối các thiết bị này khỏi Web hoặc “triển khai các khả năng, như một phần của kiến ​​trúc không tin cậy, thực thi kiểm soát truy cập vào giao diện thông qua một điểm thực thi chính sách tách biệt với chính giao diện .”

Khoảng thời gian hai tuần đó sẽ buộc các cơ quan liên quan phải hành động nhanh chóng để bảo mật hệ thống của họ. Nhưng điều đó có thể khó khăn, Motheram thừa nhận. “Về lý thuyết, việc loại bỏ các thiết bị tiếp xúc với Internet sẽ đơn giản, nhưng thực tế không phải lúc nào cũng như vậy. Cô giải thích: Có thể có một số quan liêu cần giải quyết khi thay đổi chính sách truy cập gây thêm xích mích.

Những người khác tin rằng gánh nặng là quá mức. Cochran nói: “Đây không phải là một mốc thời gian có trách nhiệm. “Vì vấn đề này quá phổ biến nên tôi cho rằng sẽ có những tác động đáng kể đối với các cơ quan được xác định. Điều này cũng giống như việc cố gỡ một đống dây bằng cách cưa xuyên qua chúng vậy.”

Những người khác hoan nghênh cách tiếp cận đúng đắn của CISA. “Thật khó để đưa ra một mốc thời gian để ngừng làm những việc đáng lẽ không bao giờ nên làm,” Head nói và cho rằng 14 ngày có thể là quá dài để chờ đợi. “Năm phút sẽ phù hợp hơn khi các nhà quản lý thực hiện các thay đổi khắc phục trong mạng lưới. Thông lệ tiêu chuẩn là không công bố các giao diện quản lý trên Internet công cộng trong nhiều năm, vì vậy việc bắt buộc thực hiện điều này là điều thận trọng và hợp lý.”

Dấu thời gian:

Thêm từ Đọc tối