Търсене
Close this search box.

CISA нареди на федералните агенции на САЩ да изключат всички устройства Ivanti Connect Secure и Policy Secure VPN, които са уязвими на множество активно използвани грешки, преди събота.

Това изисквано действие е част от допълнителното указание към първата за тази година извънредна директива (ED 24-01), издадена миналата седмица, която задължава федералните агенции от гражданската изпълнителна власт (FCEB) спешно да защитят всички ICS и IPS устройства в мрежата си срещу два недостатъка от нулев ден в отговор на широкото им използване в дивата природа от множество  заплахи.

Устройствата на Ivanti понастоящем са мишена на атаки, верижно свързващи пропуските в сигурността CVE-2023-46805 за заобикаляне на автентичността и CVE-2024-21887 за инжектиране на команди от декември насам като нулеви дни.

Компанията предупреди и за трети активно експлоатиран нулев ден (уязвимост за подправяне на заявки от страна на сървъра, проследена като CVE-2024-21893), който позволява на заплахите да заобикалят удостоверяването на уязвими ICS, IPS и ZTA шлюзове.

В сряда Ivanti пусна пачове за сигурност за някои версии на софтуера, засегнати от трите недостатъка, и също така предоставя инструкции за смекчаване на последиците за устройства, които все още чакат пач или които не могат да бъдат защитени незабавно срещу текущи атаки.

Вчера Ivanti призова клиентите си да възстановят фабричните настройки на уязвимите устройства, преди да направят пачове, за да осуетят опитите на нападателите да се задържат в мрежата им между обновяванията на софтуера.

Понастоящем Shodan вижда над 22 000 ICS VPN устройства на Ivanti, изложени на риск онлайн, докато платформата за мониторинг на заплахи Shadowserver проследява повече от 21 400.

Shadowserver също така следи ежедневно броя на компрометираните VPN инстанции на Ivanti в световен мащаб, като на 31 януари са открити почти 390 хакнати устройства.

Internet-exposed Ivanti appliances tracked by Shodan
VPN устройства на Ivanti, изложени на риск в интернет (Shodan)

CISA: Изключване на всички VPN устройства на Ivanti до събота

В отговор на „съществената заплаха“ и значителния риск от пробиви в сигурността, породени от компрометирани VPN устройства на Ivanti, CISA вече задължава всички федерални агенции да „изключат всички екземпляри на продуктите на решенията Ivanti Connect Secure и Ivanti Policy Secure от мрежите на агенциите“ „възможно най-скоро“, но не по-късно от 23:59 ч. в петък, 2 февруари.

След като устройствата бъдат отстранени от мрежата, агенциите трябва също така да продължат да търсят признаци на компрометиране на системите, свързани или наскоро свързани с изключените устройства Ivanti.

Освен това те трябва да продължат да наблюдават услугите за удостоверяване или управление на идентичността, които са податливи на излагане на риск, да изолират системите на предприятието и да одитират акаунтите за достъп на ниво привилегии.

За да върнат устройствата Ivanti отново онлайн, агенциите трябва да експортират конфигурациите им, да ги възстановят в заводски условия, да ги възстановят, като използват актуализирани версии на софтуера, да импортират отново архивираните конфигурации и да анулират всички свързани или изложени на риск сертификати, ключове и пароли.

На следващия етап федералните агенции, които са имали засегнати продукти Ivanti в мрежите си, трябва също да приемат, че всички свързани акаунти в домейни са компрометирани, и да деактивират присъединените/регистрираните устройства (в облачни среди) или да извършат двойно нулиране на паролите за всички акаунти и да анулират Kerberos тикерите и облачните токени (в хибридни настройки).

След всеки етап на възстановяване агенциите трябва да докладват на CISA за състоянието си по всички изисквани действия, като използват шаблона CyberScope, предоставен от агенцията за киберсигурност. Те ще трябва също така да предоставят актуализации за напредъка си при поискване от CISA или когато всички действия са завършени.

„Това допълнително указание остава в сила, докато CISA не установи, че всички агенции, които използват засегнатия софтуер, са изпълнили всички изисквани действия от това указание или указанието не бъде прекратено чрез друго подходящо действие“, заяви CISA.

 

Източник: По материали от Интернет

Подобни публикации

2 декември 2024

Две болници в Англия са засегнати от кибератаки...

Миналата седмица две болници на Националната здравна служба (NHS) в...
2 декември 2024

Арестуваха Михаил Павлович Матвеев

Руските власти съобщават, че са арестували Михаил Павлович Матвеев,...
2 декември 2024

6 ключови действия за спазване на разпоредбите ...

NIS2, PCI DSS, GDPR, HIPAA или CMMC… този дълъг списък от сък...
2 декември 2024

Микролайнерът на този стартъп обещава по-евтин ...

Годината беше трудна за стартиращите компании за въздушни таксита. ...
1 декември 2024

Evil Twin WiFi Attack: Ръководство "Стъпка по с...

Добре дошли в задълбоченото изследване на WiFi атаките на злите бли...
1 декември 2024

Клуб от италианската Серия А стана жертва на ра...

Футболен клуб „Болоня 1909“ потвърди, че е претърпял атака с цел от...
30 ноември 2024

Загубите от хакове и измами с криптовалути прод...

През ноември загубите на криптовалута от хакове и измами  отново на...
Бъдете социални
Още по темата
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
29/11/2024

Десетки недостатъци в индус...

Разкрити са близо две дузини уязвимости...
28/11/2024

T-Mobile споделя повече инф...

В сряда T-Mobile сподели допълнителна информация...
Последно добавени
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!