Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng Hoa Kỳ (CISA) đã cho các cơ quan Chi nhánh Hành pháp Dân sự Liên bang 48 giờ để loại bỏ tất cả các thiết bị Ivanti đang được sử dụng trên mạng liên bang, vì lo ngại rằng nhiều tác nhân đe dọa đang tích cực khai thác nhiều lỗ hổng bảo mật trong các hệ thống này. Lệnh này là một phần của hướng dẫn bổ sung kèm theo chỉ thị khẩn cấp tuần trước (ED 24-01).
Các nhà nghiên cứu bảo mật cho biết những kẻ tấn công mạng được nhà nước Trung Quốc hậu thuẫn có tên UNC5221 đã khai thác ít nhất hai lỗ hổng cả ở dạng zero-day và kể từ khi được tiết lộ vào đầu tháng XNUMX – một lỗ hổng bỏ qua xác thực (CVE-2023-46895) và lệnh chèn (CVE-2024-21887) — trong Ivanti Connect Secure. Ngoài ra, Ivanti cho biết trong tuần này rằng yêu cầu giả mạo phía máy chủ (CVE-2024-21893) lỗ hổng đã được sử dụng trong các cuộc tấn công “có chủ đích” dưới dạng zero day và nó đã tiết lộ lỗ hổng leo thang đặc quyền trong thành phần Web của Ivanti Connect Secure và Ivanti Policy Secure (CVE-2024-21888) chưa được quan sát thấy trong các cuộc tấn công ngoài tự nhiên.
“Các cơ quan đang chạy các sản phẩm Ivanti Connect Secure hoặc Ivanti Policy Secure bị ảnh hưởng phải thực hiện ngay các nhiệm vụ sau: Càng sớm càng tốt và không muộn hơn 11:59 thứ Sáu ngày 2 tháng 2024 năm XNUMX, ngắt kết nối tất cả các phiên bản của Ivanti Connect Secure và Ivanti Policy Secure giải pháp sản phẩm từ mạng lưới đại lý,” CISA đã viết theo hướng bổ sung của nó.
Chỉ thị của CISA áp dụng cho 102 cơ quan được liệt kê là “cơ quan hành pháp dân sự liên bang,” một danh sách bao gồm Bộ An ninh Nội địa, Bộ Năng lượng, Bộ Ngoại giao, Văn phòng Quản lý Nhân sự và Ủy ban Chứng khoán và Giao dịch (nhưng không phải Bộ Quốc phòng).
Các thực thể tư nhân có thiết bị Ivanti trong môi trường của họ được khuyến khích ưu tiên thực hiện các bước tương tự này để bảo vệ mạng của họ khỏi nguy cơ bị khai thác.
Rủi ro mạng của Ivanti VPN: Xử lý triệt để
Hướng dẫn ngắt kết nối, không vá lỗi, sản phẩm chỉ báo trước khoảng 48 giờ là “chưa từng có”, nhà nghiên cứu bảo mật đám mây lưu ý Scott Piper. Vì các thiết bị Ivanti kết nối mạng của tổ chức với Internet rộng hơn nên việc xâm phạm các hộp này có nghĩa là kẻ tấn công có thể truy cập vào tài khoản miền, hệ thống đám mây và các tài nguyên được kết nối khác. Những cảnh báo gần đây từ Mandiant và Volexity rằng nhiều tác nhân đe dọa đang khai thác những sai sót về số lượng lớn có thể là lý do tại sao CISA nhất quyết yêu cầu ngắt kết nối vật lý các thiết bị ngay lập tức.
CISA đã cung cấp hướng dẫn về cách tìm kiếm các dấu hiệu xâm phạm (IoC), cũng như cách kết nối lại mọi thứ với mạng sau khi thiết bị được xây dựng lại. CISA cũng cho biết họ sẽ cung cấp hỗ trợ kỹ thuật cho các cơ quan không có năng lực nội bộ để thực hiện những hành động này.
Các cơ quan được hướng dẫn tiếp tục các hoạt động tìm kiếm mối đe dọa trên các hệ thống đã được kết nối hoặc mới kết nối với các thiết bị, cũng như cách ly hệ thống khỏi tài nguyên doanh nghiệp “ở mức độ lớn nhất có thể”. Họ cũng nên giám sát mọi dịch vụ xác thực hoặc quản lý danh tính có thể bị lộ và kiểm tra các tài khoản truy cập cấp đặc quyền.
Cách kết nối lại các thiết bị
Các thiết bị Ivanti không thể kết nối lại với mạng mà cần phải được xây dựng lại và nâng cấp để loại bỏ các lỗ hổng và bất kỳ thứ gì mà kẻ tấn công có thể để lại.
“Nếu việc khai thác đã xảy ra, chúng tôi tin rằng có khả năng kẻ tấn công đã xuất các cấu hình đang chạy của bạn với các chứng chỉ riêng được tải trên cổng tại thời điểm khai thác và để lại tệp Web shell cho phép truy cập cửa sau trong tương lai,” Ivanti đã viết trong một bài viết cơ sở kiến thức giải thích cách xây dựng lại thiết bị. “Chúng tôi tin rằng mục đích của Web shell này là cung cấp một cửa sau cho cổng sau khi lỗ hổng được giảm nhẹ, vì lý do này, chúng tôi khuyến nghị khách hàng thu hồi và thay thế chứng chỉ để ngăn chặn việc khai thác thêm sau khi giảm thiểu.”
-
Các cơ quan được hướng dẫn trước tiên xuất cài đặt cấu hình của công cụ, thực hiện khôi phục cài đặt gốc và sau đó xây dựng lại công cụ.
-
Phần mềm của thiết bị phải được nâng cấp thông qua cổng tải xuống chính thức lên một trong các phiên bản sau: 9.1R18.3, 22.4R2.2, 22.5R1.1, 9.1R14.4 hoặc 9.1R17.2.
-
Sau khi nâng cấp hoàn tất, cài đặt cấu hình có thể được nhập lại vào thiết bị.
Giả định là các thiết bị đã bị xâm phạm, vì vậy bước tiếp theo là thu hồi và cấp lại tất cả các chứng chỉ, khóa và mật khẩu được kết nối hoặc bị lộ. Điều đó bao gồm việc đặt lại mật khẩu kích hoạt quản trị viên, khóa API được lưu trữ và mật khẩu của bất kỳ người dùng cục bộ nào được xác định trên cổng, chẳng hạn như tài khoản dịch vụ được sử dụng để cấu hình máy chủ xác thực.
Các cơ quan phải báo cáo cho CISA về trạng thái của các bước này trước 5:11 tối theo giờ EST ngày 59 tháng XNUMX.
Giả sử thỏa hiệp
Sẽ an toàn hơn khi cho rằng tất cả các dịch vụ và tài khoản miền được kết nối với thiết bị đã bị xâm phạm và có hành động phù hợp hơn là cố gắng đoán xem hệ thống nào có thể đã bị nhắm mục tiêu. Do đó, các đại lý phải đặt lại mật khẩu hai lần (đặt lại mật khẩu hai lần) cho tài khoản tại chỗ, thu hồi vé Kerberos và thu hồi mã thông báo cho tài khoản đám mây. Cần phải tắt các thiết bị đã tham gia/đăng ký trên đám mây để thu hồi mã thông báo của thiết bị.
Các đại lý phải báo cáo trạng thái của họ qua tất cả các bước trước 1:11 tối EST ngày 59 tháng XNUMX.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/vulnerabilities-threats/cisa-orders-disconnecting-ivanti-vpn-appliances-what-to-do
- : có
- :là
- :không phải
- 1
- 10
- 11
- 12
- 2024
- 22
- 7
- 8
- 9
- a
- truy cập
- cho phù hợp
- Trợ Lý Giám Đốc
- ngang qua
- Hành động
- hành động
- tích cực
- hoạt động
- diễn viên
- Ngoài ra
- quản trị viên
- bị ảnh hưởng
- Sau
- cơ quan
- cơ quan
- Tất cả
- Đã
- Ngoài ra
- an
- và
- và cơ sở hạ tầng
- bất kì
- bất cứ điều gì
- api
- KHÓA API
- thiết bị
- áp dụng
- LÀ
- bài viết
- AS
- Hỗ trợ
- đảm đương
- giả định
- At
- Các cuộc tấn công
- kiểm toán
- Xác thực
- Xác thực
- xa
- trở lại
- cửa sau
- BE
- bởi vì
- được
- sau
- Tin
- cả hai
- hộp
- Chi nhánh
- CẦU
- rộng hơn
- nhưng
- by
- bỏ qua
- CAN
- không thể
- khả năng
- mang
- Giấy chứng nhận
- Trung Quốc
- Vòng tròn
- thường dân
- đám mây
- Bảo mật đám mây
- hoa hồng
- hoàn thành
- thành phần
- thỏa hiệp
- Thỏa hiệp
- ảnh hưởng
- Mối quan tâm
- Cấu hình
- Kết nối
- kết nối
- tiếp tục
- có thể
- khách hàng
- An ninh mạng
- ngày
- Phòng thủ
- xác định
- Bằng cấp
- bộ
- bộ quốc phòng
- bộ phận an ninh quê hương
- thiết bị
- Thiết bị (Devices)
- hướng
- bị vô hiệu hóa
- công bố thông tin
- ngắt kết nối
- do
- miền
- tăng gấp đôi
- tải về
- Đầu
- ed
- trường hợp khẩn cấp
- cho phép
- cho phép
- năng lượng
- Doanh nghiệp
- thực thể
- môi trường
- tất cả mọi thứ
- Sàn giao dịch
- điều hành
- giải thích
- Khai thác
- khai thác
- khai thác
- khai thác
- xuất khẩu
- tiếp xúc
- nhà máy
- Tháng Hai
- Tháng Hai
- Liên bang
- Tập tin
- Tên
- lỗ hổng
- sai sót
- tiếp theo
- Trong
- sự giả mạo
- Thứ Sáu
- từ
- xa hơn
- tương lai
- cửa ngõ
- được
- lớn nhất
- đoán
- Có
- quê hương
- An ninh Nội địa
- GIỜ LÀM VIỆC
- Độ đáng tin của
- Hướng dẫn
- HTTPS
- ICON
- Bản sắc
- quản lý danh tính
- if
- ngay
- in
- bao gồm
- Các chỉ số
- Cơ sở hạ tầng
- hướng dẫn
- nội bộ
- Internet
- IT
- ITS
- Tháng một
- jpg
- chỉ
- phím
- nổi tiếng
- Họ
- một lát sau
- ít nhất
- trái
- Có khả năng
- Danh sách
- Liệt kê
- địa phương
- tìm kiếm
- quản lý
- Tháng Ba
- tháng 1
- Thánh Lễ
- Có thể..
- có nghĩa
- giảm nhẹ
- Màn Hình
- nhiều
- phải
- Cần
- cần thiết
- mạng
- mạng
- tiếp theo
- nắm tay
- Không
- Để ý..
- số
- xảy ra
- of
- Office
- chính thức
- on
- ONE
- trên
- or
- gọi món
- đơn đặt hàng
- cơ quan
- Nền tảng khác
- ra
- kết thúc
- một phần
- Mật khẩu
- đặt lại mật khẩu
- Mật khẩu
- Vá
- Thực hiện
- Nhân viên
- Thể chất
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- điều luật
- Portal
- có thể
- tiềm năng
- có khả năng
- ngăn chặn
- Ưu tiên
- riêng
- Sản phẩm
- bảo vệ
- cho
- cung cấp
- mục đích
- lý do
- gần đây
- gần đây
- đề nghị
- đề nghị
- kết nối lại
- tẩy
- thay thế
- báo cáo
- yêu cầu
- cần phải
- nhà nghiên cứu
- nhà nghiên cứu
- Thông tin
- ngay
- khoảng
- chạy
- s
- an toàn hơn
- Nói
- tương tự
- nói
- scott
- an toàn
- Chứng khoán
- Ủy ban chứng khoán
- an ninh
- máy chủ
- dịch vụ
- DỊCH VỤ
- thiết lập
- Shell
- nên
- kể từ khi
- So
- Phần mềm
- giải pháp
- sớm
- Được tài trợ
- Tiểu bang
- Bang
- Trạng thái
- Bước
- Các bước
- lưu trữ
- mạnh mẽ
- như vậy
- hệ thống
- Lấy
- dùng
- nhắm mục tiêu
- nhiệm vụ
- Kỹ thuật
- hơn
- việc này
- Sản phẩm
- cung cấp their dịch
- sau đó
- Kia là
- họ
- điều này
- tuần này
- mối đe dọa
- diễn viên đe dọa
- Thông qua
- vé
- thời gian
- đến
- Tokens
- cố gắng
- Hai lần
- hai
- Kỳ
- Hoa Kỳ
- chưa từng có
- nâng cấp
- nâng cấp
- sử dụng
- đã sử dụng
- người sử dang
- phiên bản
- VPN
- Lỗ hổng
- dễ bị tổn thương
- là
- we
- web
- tuần
- TỐT
- là
- Điều gì
- cái nào
- tại sao
- Hoang dã
- sẽ
- với
- không có
- đã viết
- nhưng
- trên màn hình
- zephyrnet
- không
- Zero Day