Търсене
Close this search box.

CISA предупреждава да не се използват хакнати устройства на Ivanti дори след фабрично нулиране

Американската агенция за киберсигурност и инфраструктурна сигурност (CISA) разкри днес, че нападателите, които са проникнали в устройствата на Ivanti, използвайки една от многобройните активно използвани уязвимости, могат да запазят устойчивостта на рута дори след извършване на фабрично нулиране.

Освен това те могат да избегнат откриването от вътрешния и външния инструмент за проверка на интегритета на Ivanti (ICT) на шлюзовете Ivanti Connect Secure и Policy Secure, компрометирани с помощта на уязвимостите CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 и CVE-2024-21893.

Оценките за сериозност на четирите уязвимости варират от висока до критична и могат да бъдат използвани за заобикаляне на удостоверяването, инжектиране на команди, подправяне на заявки от страна на сървъра и изпълнение на произволни команди.

CISA установи, че Ivanti ICT не е успяла да открие компрометиране, докато е разследвала множество хакерски инциденти, включващи хакнати устройства Ivanti. Това се е случило, тъй като според ICT на Ivanti уеб обвивките, които са били открити в системите, не са имали файлови несъответствия.

Освен това криминалистичният анализ разкрива, че нападателите са прикрили следите си, като са презаписвали файлове, спирали са времето и са монтирали отново дяла за изпълнение, за да възстановят компрометирания уред в „чисто състояние“.

Това показва, че сканирането на ИКТ невинаги е надеждно при откриването на предишни компрометирания и може да създаде фалшиво чувство за сигурност, че устройството не е компрометирано, според CISA.

Освен това американската агенция за киберсигурност може независимо да потвърди в тестова лаборатория, че за адекватното откриване на компрометиране е необходимо повече от ICT на Ivanti, тъй като заплахите могат да получат устойчивост на ниво root между фабричните рестартирания.

„По време на многобройните ангажименти за реагиране на инциденти, свързани с тази дейност, CISA установи, че вътрешните и предишните външни ИКТ на Ivanti не успяват да открият пробив“, предупреди CISA в четвъртък.

„Освен това CISA проведе независими изследвания в лабораторна среда, които потвърждават, че ИКТ на Ivanti не са достатъчни за откриване на компрометиране и че  киберзаплаха може да е в състояние да получи устойчивост на ниво root, въпреки издаването на фабрични възстановявания.“

CISA: „Обмислете значителния риск“

Днес, в отговор на препоръката на CISA, Ivanti заяви, че отдалечените атакуващи, които се опитат да получат root persistence на устройство Ivanti, използвайки метода, установен от CISA, ще загубят връзката с устройството Ivanti Connect Secure.

„На Ivanti и нашите партньори по сигурността не са известни случаи на успешна персистенция на заплахата  след прилагане на препоръчаните от Ivanti актуализации на сигурността и фабрични нулирания (хардуер)/нови изграждания (виртуални)“, заявиха от Ivanti.

Въпреки уверенията на компанията, CISA призова днес всички клиенти на Ivanti да „вземат предвид значителния риск от достъп на противник до шлюзовете Ivanti Connect Secure и Ivanti Policy Secure и неговото запазване, когато решават дали да продължат да използват тези устройства в корпоративна среда“ [подчертаване от CISA].

С други думи, CISA предупреждава, че все още може да не е безопасно да се използват компрометирани преди това устройства Ivanti дори след почистване и извършване на възстановяване на фабричните настройки.

На 1 февруари в отговор на „значителната заплаха“ и повишения риск от пробиви в сигурността, породени от хакнати VPN устройства на Ivanti, CISA нареди на всички федерални агенции да изключат всички екземпляри на Ivanti Connect Secure и Ivanti Policy Secure от мрежите си в рамките на 48 часа,

Агенциите бяха задължени да експортират конфигурациите, да ги възстановят в заводски условия, да ги изградят наново, като използват коригирани версии на софтуера, пуснати от Ivanti, да импортират отново архивираните конфигурации и да анулират всички свързани или изложени на риск сертификати, ключове и пароли, за да могат да върнат изолираните устройства обратно онлайн.

На федералните агенции, които са открили компрометирани продукти на Ivanti в мрежите си, беше казано да приемат, че всички свързани акаунти в домейна са компрометирани, и да деактивират присъединените/регистрираните устройства (в облачни среди) или да извършат двойно възстановяване на паролата за всички акаунти и да анулират Kerberos тикерите и облачните токени (в хибридни настройки).

Национални банди са използвали някои от уязвимостите в сигурността, споменати от CISA в днешната консултация, като нулеви дни, преди да бъдат използвани в по-голям мащаб от широк кръг  заплахи за пускане на множество персонализирани щамове на зловреден софтуер.

Друг нулев ден на Connect Secure, проследен като CVE-2021-22893, беше използван от предполагаеми китайски групи за заплахи през 2021 г. за пробив в десетки правителствени, отбранителни и финансови организации в САЩ и Европа.

 

Източник: По материали от Интернет

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...

Всичко за Закона за онлайн безопасността на дец...

За последен път Конгресът прие закон за защита на децата в интернет...
Бъдете социални
Още по темата
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

NIS 2: Въвеждане на по-стро...

Новата директива на ЕС NIS 2...
23/07/2024

MDR за MSP

Доставчиците на управлявани услуги (MSP) са...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!