CISA yêu cầu các thiết bị Ivanti VPN bị ngắt kết nối: Phải làm gì

Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng Hoa Kỳ (CISA) đã cho các cơ quan Chi nhánh Hành pháp Dân sự Liên bang 48 giờ để loại bỏ tất cả các thiết bị Ivanti đang được sử dụng trên mạng liên bang, vì lo ngại rằng nhiều tác nhân đe dọa đang tích cực khai thác nhiều lỗ hổng bảo mật trong các hệ thống này. Lệnh này là một phần của hướng dẫn bổ sung kèm theo chỉ thị khẩn cấp tuần trước (ED 24-01).

Các nhà nghiên cứu bảo mật cho biết những kẻ tấn công mạng được nhà nước Trung Quốc hậu thuẫn có tên UNC5221 đã khai thác ít nhất hai lỗ hổng cả ở dạng zero-day và kể từ khi được tiết lộ vào đầu tháng XNUMX – một lỗ hổng bỏ qua xác thực (CVE-2023-46895) và lệnh chèn (CVE-2024-21887) — trong Ivanti Connect Secure. Ngoài ra, Ivanti cho biết trong tuần này rằng yêu cầu giả mạo phía máy chủ (CVE-2024-21893) lỗ hổng đã được sử dụng trong các cuộc tấn công “có chủ đích” dưới dạng zero day và nó đã tiết lộ lỗ hổng leo thang đặc quyền trong thành phần Web của Ivanti Connect Secure và Ivanti Policy Secure (CVE-2024-21888) chưa được quan sát thấy trong các cuộc tấn công ngoài tự nhiên.

“Các cơ quan đang chạy các sản phẩm Ivanti Connect Secure hoặc Ivanti Policy Secure bị ảnh hưởng phải thực hiện ngay các nhiệm vụ sau: Càng sớm càng tốt và không muộn hơn 11:59 thứ Sáu ngày 2 tháng 2024 năm XNUMX, ngắt kết nối tất cả các phiên bản của Ivanti Connect Secure và Ivanti Policy Secure giải pháp sản phẩm từ mạng lưới đại lý,” CISA đã viết theo hướng bổ sung của nó.

Chỉ thị của CISA áp dụng cho 102 cơ quan được liệt kê là “cơ quan hành pháp dân sự liên bang,” một danh sách bao gồm Bộ An ninh Nội địa, Bộ Năng lượng, Bộ Ngoại giao, Văn phòng Quản lý Nhân sự và Ủy ban Chứng khoán và Giao dịch (nhưng không phải Bộ Quốc phòng).

Các thực thể tư nhân có thiết bị Ivanti trong môi trường của họ được khuyến khích ưu tiên thực hiện các bước tương tự này để bảo vệ mạng của họ khỏi nguy cơ bị khai thác.

Rủi ro mạng của Ivanti VPN: Xử lý triệt để

Hướng dẫn ngắt kết nối, không vá lỗi, sản phẩm chỉ báo trước khoảng 48 giờ là “chưa từng có”, nhà nghiên cứu bảo mật đám mây lưu ý Scott Piper. Vì các thiết bị Ivanti kết nối mạng của tổ chức với Internet rộng hơn nên việc xâm phạm các hộp này có nghĩa là kẻ tấn công có thể truy cập vào tài khoản miền, hệ thống đám mây và các tài nguyên được kết nối khác. Những cảnh báo gần đây từ Mandiant và Volexity rằng nhiều tác nhân đe dọa đang khai thác những sai sót về số lượng lớn có thể là lý do tại sao CISA nhất quyết yêu cầu ngắt kết nối vật lý các thiết bị ngay lập tức.

CISA đã cung cấp hướng dẫn về cách tìm kiếm các dấu hiệu xâm phạm (IoC), cũng như cách kết nối lại mọi thứ với mạng sau khi thiết bị được xây dựng lại. CISA cũng cho biết họ sẽ cung cấp hỗ trợ kỹ thuật cho các cơ quan không có năng lực nội bộ để thực hiện những hành động này.

Các cơ quan được hướng dẫn tiếp tục các hoạt động tìm kiếm mối đe dọa trên các hệ thống đã được kết nối hoặc mới kết nối với các thiết bị, cũng như cách ly hệ thống khỏi tài nguyên doanh nghiệp “ở mức độ lớn nhất có thể”. Họ cũng nên giám sát mọi dịch vụ xác thực hoặc quản lý danh tính có thể bị lộ và kiểm tra các tài khoản truy cập cấp đặc quyền.

Cách kết nối lại các thiết bị

Các thiết bị Ivanti không thể kết nối lại với mạng mà cần phải được xây dựng lại và nâng cấp để loại bỏ các lỗ hổng và bất kỳ thứ gì mà kẻ tấn công có thể để lại.

“Nếu việc khai thác đã xảy ra, chúng tôi tin rằng có khả năng kẻ tấn công đã xuất các cấu hình đang chạy của bạn với các chứng chỉ riêng được tải trên cổng tại thời điểm khai thác và để lại tệp Web shell cho phép truy cập cửa sau trong tương lai,” Ivanti đã viết trong một bài viết cơ sở kiến ​​thức giải thích cách xây dựng lại thiết bị. “Chúng tôi tin rằng mục đích của Web shell này là cung cấp một cửa sau cho cổng sau khi lỗ hổng được giảm nhẹ, vì lý do này, chúng tôi khuyến nghị khách hàng thu hồi và thay thế chứng chỉ để ngăn chặn việc khai thác thêm sau khi giảm thiểu.”

Giả định là các thiết bị đã bị xâm phạm, vì vậy bước tiếp theo là thu hồi và cấp lại tất cả các chứng chỉ, khóa và mật khẩu được kết nối hoặc bị lộ. Điều đó bao gồm việc đặt lại mật khẩu kích hoạt quản trị viên, khóa API được lưu trữ và mật khẩu của bất kỳ người dùng cục bộ nào được xác định trên cổng, chẳng hạn như tài khoản dịch vụ được sử dụng để cấu hình máy chủ xác thực.

Các cơ quan phải báo cáo cho CISA về trạng thái của các bước này trước 5:11 tối theo giờ EST ngày 59 tháng XNUMX.

Giả sử thỏa hiệp

Sẽ an toàn hơn khi cho rằng tất cả các dịch vụ và tài khoản miền được kết nối với thiết bị đã bị xâm phạm và có hành động phù hợp hơn là cố gắng đoán xem hệ thống nào có thể đã bị nhắm mục tiêu. Do đó, các đại lý phải đặt lại mật khẩu hai lần (đặt lại mật khẩu hai lần) cho tài khoản tại chỗ, thu hồi vé Kerberos và thu hồi mã thông báo cho tài khoản đám mây. Cần phải tắt các thiết bị đã tham gia/đăng ký trên đám mây để thu hồi mã thông báo của thiết bị.

Các đại lý phải báo cáo trạng thái của họ qua tất cả các bước trước 1:11 tối EST ngày 59 tháng XNUMX.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/vulnerabilities-threats/cisa-orders-disconnecting-ivanti-vpn-appliances-what-to-do