Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των Ηνωμένων Πολιτειών (CISA) έδωσε στις υπηρεσίες της Ομοσπονδιακής Πολιτικής Εκτελεστικής Διεύθυνσης 48 ώρες για να αφαιρέσουν όλες τις συσκευές Ivanti που χρησιμοποιούνται σε ομοσπονδιακά δίκτυα, λόγω ανησυχιών ότι Οι φορείς πολλαπλών απειλών εκμεταλλεύονται ενεργά πολλαπλά ελαττώματα ασφαλείας σε αυτά τα συστήματα. Η παραγγελία αποτελεί μέρος της συμπληρωματικής κατεύθυνσης που συνοδεύει την οδηγία έκτακτης ανάγκης της περασμένης εβδομάδας (ΕΔ 24-01).

Ερευνητές ασφαλείας λένε ότι οι κυβερνοεπιθέσεις που υποστηρίζονται από την Κίνα, γνωστοί ως UNC5221, έχουν εκμεταλλευτεί τουλάχιστον δύο τρωτά σημεία τόσο ως zero-days όσο και μετά την αποκάλυψη στις αρχές Ιανουαρίου — μια παράκαμψη ελέγχου ταυτότητας (CVE-2023-46895) και μια ένεση εντολής (CVE-2024-21887) ελάττωμα — στο Ivanti Connect Secure. Επιπλέον, ο Ivanti είπε αυτή την εβδομάδα ότι ένα αίτημα πλαστογραφίας από την πλευρά του διακομιστή (CVE-2024-21893) το ελάττωμα έχει ήδη χρησιμοποιηθεί σε «στοχευμένες» επιθέσεις ως μηδενική ημέρα και αποκάλυψε μια ευπάθεια κλιμάκωσης προνομίων στο στοιχείο Web του Ivanti Connect Secure και του Ivanti Policy Secure (CVE-2024-21888) που δεν παρατηρήθηκε ακόμη σε επιθέσεις στη φύση.

«Οι εταιρείες που εκτελούν επηρεασμένα προϊόντα Ivanti Connect Secure ή Ivanti Policy Secure πρέπει να εκτελούν αμέσως τις ακόλουθες εργασίες: Το συντομότερο δυνατό και το αργότερο στις 11:59 της Παρασκευής 2 Φεβρουαρίου 2024, αποσυνδέστε όλες τις παρουσίες των Ivanti Connect Secure και Ivanti Policy Secure προϊόντα λύσεων από δίκτυα πρακτορείων», Η CISA έγραψε στη συμπληρωματική της κατεύθυνση.

Η οδηγία της CISA ισχύει για τις 102 υπηρεσίες που αναφέρονται ως «ομοσπονδιακά μη στρατιωτικά εκτελεστικά όργανα», μια λίστα που περιλαμβάνει το Υπουργείο Εσωτερικής Ασφάλειας, το Υπουργείο Ενέργειας, το Υπουργείο Εξωτερικών, το Γραφείο Διαχείρισης Προσωπικού και την Επιτροπή Κεφαλαιαγοράς (αλλά όχι το Υπουργείο Άμυνας).

Σε ιδιωτικούς φορείς με συσκευές Ivanti στο περιβάλλον τους συνιστάται να δώσουν προτεραιότητα στη λήψη αυτών των ίδιων μέτρων για την προστασία των δικτύων τους από πιθανή εκμετάλλευση.

Ivanti VPN Cyber-Risk: Rip It All Out

Η οδηγία για την αποσύνδεση, όχι την επιδιόρθωση, των προϊόντων με ειδοποίηση μόλις 48 ωρών «είναι άνευ προηγουμένου», σημείωσε ο ερευνητής ασφάλειας cloud Scott Piper. Επειδή οι συσκευές Ivanti γεφυρώνουν το δίκτυο του οργανισμού με το ευρύτερο Διαδίκτυο, η παραβίαση αυτών των πλαισίων σημαίνει ότι οι εισβολείς μπορούν ενδεχομένως να έχουν πρόσβαση σε λογαριασμούς τομέα, συστήματα cloud και άλλους συνδεδεμένους πόρους. Οι πρόσφατες προειδοποιήσεις από τη Mandiant και το Volexity ότι είναι πολλαπλοί παράγοντες απειλής αξιοποιώντας τα ελαττώματα στους μαζικούς αριθμούς είναι πιθανό ο λόγος για τον οποίο η CISA επιμένει να αποσυνδέσει άμεσα τις συσκευές.

Η CISA παρείχε οδηγίες σχετικά με την αναζήτηση δεικτών συμβιβασμού (IoC), καθώς και τον τρόπο επανασύνδεσης των πάντων στα δίκτυα μετά την ανακατασκευή των συσκευών. Η CISA είπε επίσης ότι θα παράσχει τεχνική βοήθεια σε φορείς που δεν διαθέτουν εσωτερικές δυνατότητες για τη διεξαγωγή αυτών των ενεργειών.

Οι υπηρεσίες λαμβάνουν οδηγίες να συνεχίσουν τις δραστηριότητες κυνηγιού απειλών σε συστήματα που συνδέθηκαν ή συνδέθηκαν πρόσφατα με τις συσκευές, καθώς και να απομονώσουν τα συστήματα από τους πόρους της επιχείρησης «στο μέγιστο δυνατό βαθμό». Θα πρέπει επίσης να παρακολουθούν τυχόν υπηρεσίες ελέγχου ταυτότητας ή διαχείρισης ταυτότητας που θα μπορούσαν να έχουν εκτεθεί και να ελέγχουν λογαριασμούς πρόσβασης σε επίπεδο προνομίων.

Πώς να επανασυνδέσετε τις συσκευές

Οι συσκευές Ivanti δεν μπορούν απλώς να επανασυνδεθούν στο δίκτυο, αλλά πρέπει να ανακατασκευαστούν και να αναβαθμιστούν για να αφαιρέσουν τα τρωτά σημεία και οτιδήποτε μπορεί να έχουν αφήσει πίσω οι επιτιθέμενοι.

"Εάν έχει συμβεί εκμετάλλευση, πιστεύουμε ότι είναι πιθανό ο παράγοντας απειλής να έχει κάνει εξαγωγή των εκτελούμενων διαμορφώσεων με τα ιδιωτικά πιστοποιητικά που έχουν φορτωθεί στην πύλη τη στιγμή της εκμετάλλευσης και να αφήσει πίσω του ένα αρχείο κελύφους Web που επιτρέπει μελλοντική πρόσβαση σε backdoor", Ivanti έγραψε στο α άρθρο της βάσης γνώσεων που εξηγεί πώς να ξαναχτίσετε τη συσκευή. "Πιστεύουμε ότι ο σκοπός αυτού του κελύφους Ιστού είναι να παρέχει μια κερκόπορτα στην πύλη μετά την άμβλυνση της ευπάθειας, για αυτόν τον λόγο συνιστούμε στους πελάτες να ανακαλέσουν και να αντικαταστήσουν τα πιστοποιητικά για να αποτρέψουν περαιτέρω εκμετάλλευση μετά τον μετριασμό."

Η υπόθεση είναι ότι οι συσκευές έχουν παραβιαστεί, επομένως το επόμενο βήμα είναι η ανάκληση και η επανέκδοση όλων των συνδεδεμένων ή εκτεθειμένων πιστοποιητικών, κλειδιών και κωδικών πρόσβασης. Αυτό περιλαμβάνει την επαναφορά του κωδικού πρόσβασης ενεργοποίησης διαχειριστή, των αποθηκευμένων κλειδιών API και του κωδικού πρόσβασης οποιουδήποτε τοπικού χρήστη που ορίζεται στην πύλη, όπως οι λογαριασμοί υπηρεσίας που χρησιμοποιούνται για τη διαμόρφωση διακομιστή ελέγχου ταυτότητας.

Οι εταιρείες πρέπει να αναφέρουν στην CISA την κατάσταση αυτών των βημάτων έως τις 5 Φεβρουαρίου, 11:59 EST.

Υποθέστε Συμβιβασμό

Είναι ασφαλέστερο να υποθέσουμε ότι όλες οι υπηρεσίες και οι λογαριασμοί τομέα που συνδέονται με τις συσκευές έχουν παραβιαστεί και να ενεργήσουμε αναλόγως, παρά να προσπαθήσουμε να μαντέψουμε ποια συστήματα μπορεί να έχουν στοχευθεί. Ως εκ τούτου, οι εταιρείες πρέπει να επαναφέρουν τους κωδικούς πρόσβασης δύο φορές (επαναφορά διπλού κωδικού πρόσβασης) για λογαριασμούς εσωτερικής εγκατάστασης, να ανακαλέσουν εισιτήρια Kerberos και να ανακαλέσουν διακριτικά για λογαριασμούς cloud. Οι συνδεδεμένες/εγγεγραμμένες συσκευές στο cloud έπρεπε να απενεργοποιηθούν προκειμένου να ανακληθούν τα διακριτικά της συσκευής.

Οι εταιρείες πρέπει να αναφέρουν την κατάστασή τους σε όλα τα βήματα έως την 1η Μαρτίου, 11:59 EST.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/vulnerabilities-threats/cisa-orders-disconnecting-ivanti-vpn-appliances-what-to-do