ریاستہائے متحدہ کی سائبر سیکیورٹی اینڈ انفراسٹرکچر سیکیورٹی ایجنسی (CISA) نے وفاقی سویلین ایگزیکٹو برانچ ایجنسیوں کو وفاقی نیٹ ورکس پر استعمال میں آنے والے تمام Ivanti آلات کو ختم کرنے کے لیے 48 گھنٹے کا وقت دیا ہے۔ ایک سے زیادہ دھمکی دینے والے اداکار متعدد حفاظتی خامیوں کا فعال طور پر استحصال کر رہے ہیں۔ ان نظاموں میں. یہ آرڈر پچھلے ہفتے کی ہنگامی ہدایت (ED 24-01) کے ساتھ ضمنی سمت کا حصہ ہے۔
سیکیورٹی محققین کا کہنا ہے کہ UNC5221 کے نام سے جانے جانے والے چینی ریاستی حمایت یافتہ سائبر حملہ آوروں نے صفر دنوں کے طور پر اور جنوری کے اوائل میں انکشاف کے بعد سے کم از کم دو خطرات کا فائدہ اٹھایا ہے - ایک توثیق بائی پاس (CVE-2023-46895) اور ایک کمانڈ انجیکشن (CVE-2024-21887) خامی — Ivanti Connect Secure میں۔ اس کے علاوہ، Ivanti نے اس ہفتے کہا کہ سرور کی طرف سے درخواست کی جعلسازی (CVE-2024-21893) خامی کو پہلے ہی صفر دن کے طور پر "ٹارگٹڈ" حملوں میں استعمال کیا جا چکا ہے، اور اس نے Ivanti Connect Secure اور Ivanti Policy Secure (Ivanti Policy Secure) کے ویب جزو میں استحقاق میں اضافے کے خطرے کا انکشاف کیا ہے۔CVE-2024-21888) جو ابھی تک جنگلی حملوں میں نہیں دیکھی گئی تھی۔
"ان ایجنسیوں کو جو Ivanti Connect Secure یا Ivanti Policy Secure پراڈکٹس پر اثر انداز ہو رہی ہیں درج ذیل کاموں کو فوری طور پر انجام دینے کی ضرورت ہے: جتنی جلدی ہو سکے اور جمعہ 11 فروری 59 کو رات 2:2024 سے زیادہ نہیں، Ivanti Connect Secure اور Ivanti Policy Secure کے تمام واقعات کو منقطع کر دیں۔ ایجنسی نیٹ ورکس سے حل کی مصنوعات، CISA نے اپنی ضمنی سمت میں لکھا.
CISA کی ہدایت کا اطلاق 102 ایجنسیوں پر ہوتا ہےوفاقی سویلین ایگزیکٹو برانچ ایجنسیاںایک فہرست جس میں محکمہ ہوم لینڈ سیکورٹی، محکمہ توانائی، محکمہ خارجہ، دفتر برائے عملہ منیجمنٹ، اور سیکورٹیز اینڈ ایکسچینج کمیشن (لیکن محکمہ دفاع نہیں) شامل ہیں۔
اپنے ماحول میں Ivanti آلات کے ساتھ نجی اداروں کو سختی سے سفارش کی جاتی ہے کہ وہ اپنے نیٹ ورکس کو ممکنہ استحصال سے بچانے کے لیے یہی اقدامات کرنے کو ترجیح دیں۔
Ivanti VPN سائبر رسک: اسے ختم کر دیں۔
تقریباً 48 گھنٹے کے نوٹس کے ساتھ مصنوعات کو پیوند نہیں بلکہ منقطع کرنے کی ہدایت "بے مثال ہے،" مشہور کلاؤڈ سیکیورٹی محقق سکاٹ پائپر. چونکہ Ivanti ایپلائینسز تنظیم کے نیٹ ورک کو وسیع تر انٹرنیٹ تک پہنچاتے ہیں، ان خانوں سے سمجھوتہ کرنے کا مطلب ہے کہ حملہ آور ممکنہ طور پر ڈومین اکاؤنٹس، کلاؤڈ سسٹمز اور دیگر منسلک وسائل تک رسائی حاصل کر سکتے ہیں۔ مینڈینٹ اور وولیکسٹی کی طرف سے حالیہ انتباہات کہ ایک سے زیادہ خطرے والے اداکار ہیں۔ بڑے پیمانے پر تعداد میں خامیوں کا فائدہ اٹھانا ممکنہ طور پر کیوں CISA آلات کو جسمانی طور پر منقطع کرنے پر اصرار کر رہا ہے۔
CISA نے سمجھوتہ کے اشارے (IoCs) تلاش کرنے کے ساتھ ساتھ آلات کی دوبارہ تعمیر کے بعد نیٹ ورکس سے ہر چیز کو دوبارہ جوڑنے کے بارے میں ہدایات فراہم کیں۔ CISA نے یہ بھی کہا کہ وہ ان کارروائیوں کو انجام دینے کے لیے اندرونی صلاحیتوں کے بغیر ایجنسیوں کو تکنیکی مدد فراہم کرے گا۔
ایجنسیوں کو ہدایت کی جاتی ہے کہ وہ ایسے سسٹمز پر خطرے کا شکار کرنے کی سرگرمیاں جاری رکھیں جو آلات سے منسلک ہیں، یا حال ہی میں منسلک ہیں، نیز سسٹم کو انٹرپرائز وسائل سے "سب سے زیادہ حد تک" الگ تھلگ کرنے کے لیے۔ انہیں کسی بھی تصدیق یا شناخت کے انتظام کی خدمات کی بھی نگرانی کرنی چاہئے جو بے نقاب ہوسکتی ہیں اور استحقاق کی سطح تک رسائی کے اکاؤنٹس کا آڈٹ کریں۔
آلات کو دوبارہ جوڑنے کا طریقہ
Ivanti ایپلائینسز کو صرف نیٹ ورک سے دوبارہ منسلک نہیں کیا جا سکتا، لیکن کمزوریوں کو دور کرنے کے لیے دوبارہ تعمیر اور اپ گریڈ کرنے کی ضرورت ہے اور حملہ آوروں نے جو کچھ بھی چھوڑ دیا ہو سکتا ہے۔
"اگر استحصال ہوا ہے، تو ہمیں یقین ہے کہ ممکنہ طور پر دھمکی دینے والے اداکار نے استحصال کے وقت گیٹ وے پر بھری ہوئی پرائیویٹ سرٹیفکیٹس کے ساتھ آپ کی چل رہی کنفیگریشنز کو برآمد کر لیا ہے، اور بیک ڈور مستقبل تک رسائی کے قابل بنانے والی ویب شیل فائل کو پیچھے چھوڑ دیا ہے،" Ivanti ایک میں لکھا نالج بیس مضمون یہ بتاتا ہے کہ آلات کو دوبارہ کیسے بنایا جائے۔. "ہمیں یقین ہے کہ اس ویب شیل کا مقصد کمزوری کو کم کرنے کے بعد گیٹ وے کو بیک ڈور فراہم کرنا ہے، اس وجہ سے ہم صارفین کو سفارش کر رہے ہیں کہ تخفیف کے بعد مزید استحصال کو روکنے کے لیے سرٹیفکیٹس کو منسوخ اور تبدیل کریں۔"
-
ایجنسیوں کو ہدایت کی جاتی ہے کہ وہ پہلے آلات کی کنفیگریشن سیٹنگز کو ایکسپورٹ کریں، فیکٹری ری سیٹ کریں، اور پھر آلات کو دوبارہ بنائیں۔
-
آلات کے سافٹ ویئر کو آفیشل ڈاؤن لوڈ پورٹل کے ذریعے درج ذیل ورژنز میں سے کسی ایک میں اپ گریڈ کیا جانا چاہیے: 9.1R18.3، 22.4R2.2، 22.5R1.1، 9.1R14.4، یا 9.1R17.2۔
-
اپ گریڈ مکمل ہونے کے بعد، کنفیگریشن سیٹنگز کو دوبارہ آلات میں درآمد کیا جا سکتا ہے۔
مفروضہ یہ ہے کہ آلات سے سمجھوتہ کیا گیا ہے، لہذا اگلا مرحلہ تمام منسلک یا بے نقاب سرٹیفکیٹس، چابیاں اور پاس ورڈز کو منسوخ اور دوبارہ جاری کرنا ہے۔ اس میں ایڈمن ایبل پاس ورڈ، اسٹور کردہ API کیز، اور گیٹ وے پر متعین کسی بھی مقامی صارف کا پاس ورڈ، جیسے کہ تصنیف سرور کنفیگریشن کے لیے استعمال کیے جانے والے سروس اکاؤنٹس کو دوبارہ ترتیب دینا شامل ہے۔
ایجنسیوں کو 5 فروری، 11:59 PM EST تک CISA کو ان اقدامات کی حالت کی اطلاع دینی چاہیے۔
سمجھوتہ فرض کریں۔
یہ سمجھنا زیادہ محفوظ ہے کہ آلات سے منسلک تمام سروسز اور ڈومین اکاؤنٹس سے سمجھوتہ کیا گیا ہے اور اس کے مطابق عمل کرنا، یہ اندازہ لگانے کی کوشش کرنے کے بجائے کہ کون سے سسٹمز کو نشانہ بنایا گیا ہے۔ اس طرح، ایجنسیوں کو آن پریمیس اکاؤنٹس کے لیے پاس ورڈز کو دو بار (ڈبل پاس ورڈ ری سیٹ) ری سیٹ کرنا چاہیے، Kerberos ٹکٹوں کو منسوخ کرنا، اور کلاؤڈ اکاؤنٹس کے لیے ٹوکنز کو منسوخ کرنا چاہیے۔ ڈیوائس ٹوکنز کو کالعدم کرنے کے لیے کلاؤڈ میں شامل/رجسٹرڈ ڈیوائسز کو غیر فعال کرنے کی ضرورت ہے۔
ایجنسیوں کو 1 مارچ، 11:59 PM EST تک تمام مراحل میں اپنی حیثیت کی اطلاع دینے کی ضرورت ہے۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/vulnerabilities-threats/cisa-orders-disconnecting-ivanti-vpn-appliances-what-to-do
