Търсене
Close this search box.

CISA нарежда на федералните агенции да изключат VPN устройствата на Ivanti до събота

CISA нареди на федералните агенции на САЩ да изключат всички устройства Ivanti Connect Secure и Policy Secure VPN, които са уязвими на множество активно използвани грешки, преди събота.

Това изисквано действие е част от допълнителното указание към първата за тази година извънредна директива (ED 24-01), издадена миналата седмица, която задължава федералните агенции от гражданската изпълнителна власт (FCEB) спешно да защитят всички ICS и IPS устройства в мрежата си срещу два недостатъка от нулев ден в отговор на широкото им използване в дивата природа от множество  заплахи.

Устройствата на Ivanti понастоящем са мишена на атаки, верижно свързващи пропуските в сигурността CVE-2023-46805 за заобикаляне на автентичността и CVE-2024-21887 за инжектиране на команди от декември насам като нулеви дни.

Компанията предупреди и за трети активно експлоатиран нулев ден (уязвимост за подправяне на заявки от страна на сървъра, проследена като CVE-2024-21893), който позволява на заплахите да заобикалят удостоверяването на уязвими ICS, IPS и ZTA шлюзове.

В сряда Ivanti пусна пачове за сигурност за някои версии на софтуера, засегнати от трите недостатъка, и също така предоставя инструкции за смекчаване на последиците за устройства, които все още чакат пач или които не могат да бъдат защитени незабавно срещу текущи атаки.

Вчера Ivanti призова клиентите си да възстановят фабричните настройки на уязвимите устройства, преди да направят пачове, за да осуетят опитите на нападателите да се задържат в мрежата им между обновяванията на софтуера.

Понастоящем Shodan вижда над 22 000 ICS VPN устройства на Ivanti, изложени на риск онлайн, докато платформата за мониторинг на заплахи Shadowserver проследява повече от 21 400.

Shadowserver също така следи ежедневно броя на компрометираните VPN инстанции на Ivanti в световен мащаб, като на 31 януари са открити почти 390 хакнати устройства.

Internet-exposed Ivanti appliances tracked by Shodan
VPN устройства на Ivanti, изложени на риск в интернет (Shodan)

CISA: Изключване на всички VPN устройства на Ivanti до събота

В отговор на „съществената заплаха“ и значителния риск от пробиви в сигурността, породени от компрометирани VPN устройства на Ivanti, CISA вече задължава всички федерални агенции да „изключат всички екземпляри на продуктите на решенията Ivanti Connect Secure и Ivanti Policy Secure от мрежите на агенциите“ „възможно най-скоро“, но не по-късно от 23:59 ч. в петък, 2 февруари.

След като устройствата бъдат отстранени от мрежата, агенциите трябва също така да продължат да търсят признаци на компрометиране на системите, свързани или наскоро свързани с изключените устройства Ivanti.

Освен това те трябва да продължат да наблюдават услугите за удостоверяване или управление на идентичността, които са податливи на излагане на риск, да изолират системите на предприятието и да одитират акаунтите за достъп на ниво привилегии.

За да върнат устройствата Ivanti отново онлайн, агенциите трябва да експортират конфигурациите им, да ги възстановят в заводски условия, да ги възстановят, като използват актуализирани версии на софтуера, да импортират отново архивираните конфигурации и да анулират всички свързани или изложени на риск сертификати, ключове и пароли.

На следващия етап федералните агенции, които са имали засегнати продукти Ivanti в мрежите си, трябва също да приемат, че всички свързани акаунти в домейни са компрометирани, и да деактивират присъединените/регистрираните устройства (в облачни среди) или да извършат двойно нулиране на паролите за всички акаунти и да анулират Kerberos тикерите и облачните токени (в хибридни настройки).

След всеки етап на възстановяване агенциите трябва да докладват на CISA за състоянието си по всички изисквани действия, като използват шаблона CyberScope, предоставен от агенцията за киберсигурност. Те ще трябва също така да предоставят актуализации за напредъка си при поискване от CISA или когато всички действия са завършени.

„Това допълнително указание остава в сила, докато CISA не установи, че всички агенции, които използват засегнатия софтуер, са изпълнили всички изисквани действия от това указание или указанието не бъде прекратено чрез друго подходящо действие“, заяви CISA.

 

Източник: По материали от Интернет

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
12 април 2024

Глобиха AWS с над 1 млрд. лева

Съдебните заседатели установиха, че AWS е нарушила правата на собст...
12 април 2024

Magecart са пионери в областта на устойчивата з...

Печално известната киберпрестъпна организация, занимаваща се със ск...
Бъдете социални
Още по темата
11/04/2024

CISA нарежда на агенциите, ...

CISA издаде нова спешна директива, с...
11/04/2024

10 млн. долара рекет за Hoy...

Неотдавнашната кибератака срещу Hoya Corporation, за...
09/04/2024

Виетнамската група за кибер...

Новопоявила се група за киберпрестъпления, свързана...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!