CISA нареди на федералните агенции на САЩ да изключат всички устройства Ivanti Connect Secure и Policy Secure VPN, които са уязвими на множество активно използвани грешки, преди събота.
Това изисквано действие е част от допълнителното указание към първата за тази година извънредна директива (ED 24-01), издадена миналата седмица, която задължава федералните агенции от гражданската изпълнителна власт (FCEB) спешно да защитят всички ICS и IPS устройства в мрежата си срещу два недостатъка от нулев ден в отговор на широкото им използване в дивата природа от множество заплахи.
Устройствата на Ivanti понастоящем са мишена на атаки, верижно свързващи пропуските в сигурността CVE-2023-46805 за заобикаляне на автентичността и CVE-2024-21887 за инжектиране на команди от декември насам като нулеви дни.
Компанията предупреди и за трети активно експлоатиран нулев ден (уязвимост за подправяне на заявки от страна на сървъра, проследена като CVE-2024-21893), който позволява на заплахите да заобикалят удостоверяването на уязвими ICS, IPS и ZTA шлюзове.
В сряда Ivanti пусна пачове за сигурност за някои версии на софтуера, засегнати от трите недостатъка, и също така предоставя инструкции за смекчаване на последиците за устройства, които все още чакат пач или които не могат да бъдат защитени незабавно срещу текущи атаки.
Вчера Ivanti призова клиентите си да възстановят фабричните настройки на уязвимите устройства, преди да направят пачове, за да осуетят опитите на нападателите да се задържат в мрежата им между обновяванията на софтуера.
Понастоящем Shodan вижда над 22 000 ICS VPN устройства на Ivanti, изложени на риск онлайн, докато платформата за мониторинг на заплахи Shadowserver проследява повече от 21 400.
Shadowserver също така следи ежедневно броя на компрометираните VPN инстанции на Ivanti в световен мащаб, като на 31 януари са открити почти 390 хакнати устройства.
VPN устройства на Ivanti, изложени на риск в интернет (Shodan)
В отговор на „съществената заплаха“ и значителния риск от пробиви в сигурността, породени от компрометирани VPN устройства на Ivanti, CISA вече задължава всички федерални агенции да „изключат всички екземпляри на продуктите на решенията Ivanti Connect Secure и Ivanti Policy Secure от мрежите на агенциите“ „възможно най-скоро“, но не по-късно от 23:59 ч. в петък, 2 февруари.
След като устройствата бъдат отстранени от мрежата, агенциите трябва също така да продължат да търсят признаци на компрометиране на системите, свързани или наскоро свързани с изключените устройства Ivanti.
Освен това те трябва да продължат да наблюдават услугите за удостоверяване или управление на идентичността, които са податливи на излагане на риск, да изолират системите на предприятието и да одитират акаунтите за достъп на ниво привилегии.
За да върнат устройствата Ivanti отново онлайн, агенциите трябва да експортират конфигурациите им, да ги възстановят в заводски условия, да ги възстановят, като използват актуализирани версии на софтуера, да импортират отново архивираните конфигурации и да анулират всички свързани или изложени на риск сертификати, ключове и пароли.
На следващия етап федералните агенции, които са имали засегнати продукти Ivanti в мрежите си, трябва също да приемат, че всички свързани акаунти в домейни са компрометирани, и да деактивират присъединените/регистрираните устройства (в облачни среди) или да извършат двойно нулиране на паролите за всички акаунти и да анулират Kerberos тикерите и облачните токени (в хибридни настройки).
След всеки етап на възстановяване агенциите трябва да докладват на CISA за състоянието си по всички изисквани действия, като използват шаблона CyberScope, предоставен от агенцията за киберсигурност. Те ще трябва също така да предоставят актуализации за напредъка си при поискване от CISA или когато всички действия са завършени.
„Това допълнително указание остава в сила, докато CISA не установи, че всички агенции, които използват засегнатия софтуер, са изпълнили всички изисквани действия от това указание или указанието не бъде прекратено чрез друго подходящо действие“, заяви CISA.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.