CISA 希望在 14 天内修复暴露的政府设备

CISA 希望在 14 天内修复暴露的政府设备

时间戳:29年2023月5日下午20:XNUMX
CISA 希望在 14 天内修复暴露的政府设备 PlatoBlockchain 数据智能。垂直搜索。人工智能。

研究人员发现数百个在政府网络上运行的设备在开放网络上公开远程管理界面。 多亏了网络安全和基础设施安全局(CISA),这种情况将会迅速改变——据一些专家称,可能太快了。

13月XNUMX日,中钢协发布 约束性操作指令 (BOD) 23-02,目标是消除联邦民事行政部门 (FCEB) 机构网络中边缘设备上运行的暴露于互联网的管理界面。 不久之后就发布了公告 CISA 关于 Volt 台风的警告,中国国家支持的高级持续威胁 (APT),利用 Fortinet FortiGuard 设备 针对美国政府实体的间谍活动.

为了衡量 BOD 23-02 的重要性, Censys 的研究人员扫描了互联网 对于暴露管理接口的设备 联邦文职行政部门 (FCEB)机构。 扫描发现了近 250 个合格设备,以及 BOD 23-02 范围之外的许多其他网络漏洞。 

Censys 安全研究员 Himaja Motheram 表示:“虽然这种程度的暴露可能不会立即引起恐慌,但仍然令人担忧,因为这可能只是冰山一角。” “这表明,如果不满足这种基本卫生要求,可能会出现更深层次、更严重的安全问题。”

FCEB 组织的暴露程度如何

符合 BOD 23-02 资格的设备包括暴露在互联网上的路由器、交换机、防火墙、VPN 集中器、代理、负载均衡器、带外服务器管理接口以及管理接口使用网络协议进行远程管理的任何其他设备通过公共互联网,”CISA 解释道——HTTP、FTP SMB 等协议。

Censys 研究人员发现了数百个此类设备,其中包括各种暴露的 Cisco 设备 自适应安全设备管理器界面、Cradlepoint 路由器接口,以及 Fortinet 的热门防火墙产品 和 SonicWall公司。 他们还发现超过 15 个暴露的远程访问协议实例在 FCEB 相关主机上运行。

搜索量如此之大,以至于他们甚至发现了许多超出 BOD 23-02 范围的联邦网络漏洞,包括 公开的文件传输工具,例如 GoAnywhere MFT移动它, 梭子鱼电子邮件安全网关暴露以及已失效软件的各种实例。

组织通常不知道自己的暴露程度或不了解暴露的影响。 马瑟姆强调,未受保护的装备都很容易找到。 “老实说,对我们来说微不足道的发现对于业余威胁行为者来说可能更微不足道。”

边缘设备如何暴露

为何如此多的设备会暴露在受到严格审查的政府网络上?

Intrusion 首席技术官 Joe Head 指出了多种原因,包括“管理员的便利性、缺乏操作安全意识、缺乏对对手的尊重、使用默认或已知密码以及缺乏可见性”。

Tanium 端点安全总监 James Cochran 补充道,“人员短缺可能会导致过度劳累的 IT 团队走捷径,从而使网络管理变得更加容易。”

还要考虑一下政府特有的陷阱,这些陷阱可能会使问题变得更糟。 “由于缺乏监督和对潜在威胁的担忧,设备可以打着‘关键任务’的幌子添加到网络中,从而使它们免受所有审查,”科克伦感叹道。 机构还可以合并或扩张,但网络和安全集成方面存在差距。 “随着时间的推移,整个网络开始类似于《疯狂的麦克斯》电影中的东西,随机的东西被连接在一起,你不确定为什么。”

BOD 23-02 会扭转局面吗?

CISA 在其指令中表示,它将开始扫描合格设备并通知有责任的机构。 接到通知后,违规机构将只有 14 天的时间来断开这些设备与网络的连接,或者“部署作为零信任架构一部分的功能,通过与接口本身分离的策略执行点来强制执行对接口的访问控制” ”。

这两周的时间将迫使相关机构迅速采取行动以保护其系统。 但母亲承认,这可能很困难。 “理论上,删除暴露在互联网上的设备应该很简单,但事实并非总是如此。 在改变准入政策时可能会遇到一些官僚主义的问题,这会增加摩擦,”她解释道。

其他人则认为这种负担是不适当的。 “这不是一个负责任的时间表,”科克伦说。 “由于这个问题如此普遍,我预计这会对已确定的机构产生重大影响。 这与试图通过锯断一堆电线来解开它们是一样的。”

其他人则对 CISA 严肃的做法表示赞赏。 海德说:“很难制定一个时间表来停止做不应该做的事情。”他认为 14 天可能太长了。 “当管理者负责纠正网络变化时,五分钟会更明智。 多年来,不向公共互联网公开管理接口已成为标准做法,因此强制执行是审慎且合理的。”

时间戳记:

更多来自 暗读