Търсене
Close this search box.

CISA предупреждава да не се използват хакнати устройства на Ivanti дори след фабрично нулиране

Американската агенция за киберсигурност и инфраструктурна сигурност (CISA) разкри днес, че нападателите, които са проникнали в устройствата на Ivanti, използвайки една от многобройните активно използвани уязвимости, могат да запазят устойчивостта на рута дори след извършване на фабрично нулиране.

Освен това те могат да избегнат откриването от вътрешния и външния инструмент за проверка на интегритета на Ivanti (ICT) на шлюзовете Ivanti Connect Secure и Policy Secure, компрометирани с помощта на уязвимостите CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 и CVE-2024-21893.

Оценките за сериозност на четирите уязвимости варират от висока до критична и могат да бъдат използвани за заобикаляне на удостоверяването, инжектиране на команди, подправяне на заявки от страна на сървъра и изпълнение на произволни команди.

CISA установи, че Ivanti ICT не е успяла да открие компрометиране, докато е разследвала множество хакерски инциденти, включващи хакнати устройства Ivanti. Това се е случило, тъй като според ICT на Ivanti уеб обвивките, които са били открити в системите, не са имали файлови несъответствия.

Освен това криминалистичният анализ разкрива, че нападателите са прикрили следите си, като са презаписвали файлове, спирали са времето и са монтирали отново дяла за изпълнение, за да възстановят компрометирания уред в „чисто състояние“.

Това показва, че сканирането на ИКТ невинаги е надеждно при откриването на предишни компрометирания и може да създаде фалшиво чувство за сигурност, че устройството не е компрометирано, според CISA.

Освен това американската агенция за киберсигурност може независимо да потвърди в тестова лаборатория, че за адекватното откриване на компрометиране е необходимо повече от ICT на Ivanti, тъй като заплахите могат да получат устойчивост на ниво root между фабричните рестартирания.

„По време на многобройните ангажименти за реагиране на инциденти, свързани с тази дейност, CISA установи, че вътрешните и предишните външни ИКТ на Ivanti не успяват да открият пробив“, предупреди CISA в четвъртък.

„Освен това CISA проведе независими изследвания в лабораторна среда, които потвърждават, че ИКТ на Ivanti не са достатъчни за откриване на компрометиране и че  киберзаплаха може да е в състояние да получи устойчивост на ниво root, въпреки издаването на фабрични възстановявания.“

CISA: „Обмислете значителния риск“

Днес, в отговор на препоръката на CISA, Ivanti заяви, че отдалечените атакуващи, които се опитат да получат root persistence на устройство Ivanti, използвайки метода, установен от CISA, ще загубят връзката с устройството Ivanti Connect Secure.

„На Ivanti и нашите партньори по сигурността не са известни случаи на успешна персистенция на заплахата  след прилагане на препоръчаните от Ivanti актуализации на сигурността и фабрични нулирания (хардуер)/нови изграждания (виртуални)“, заявиха от Ivanti.

Въпреки уверенията на компанията, CISA призова днес всички клиенти на Ivanti да „вземат предвид значителния риск от достъп на противник до шлюзовете Ivanti Connect Secure и Ivanti Policy Secure и неговото запазване, когато решават дали да продължат да използват тези устройства в корпоративна среда“ [подчертаване от CISA].

С други думи, CISA предупреждава, че все още може да не е безопасно да се използват компрометирани преди това устройства Ivanti дори след почистване и извършване на възстановяване на фабричните настройки.

На 1 февруари в отговор на „значителната заплаха“ и повишения риск от пробиви в сигурността, породени от хакнати VPN устройства на Ivanti, CISA нареди на всички федерални агенции да изключат всички екземпляри на Ivanti Connect Secure и Ivanti Policy Secure от мрежите си в рамките на 48 часа,

Агенциите бяха задължени да експортират конфигурациите, да ги възстановят в заводски условия, да ги изградят наново, като използват коригирани версии на софтуера, пуснати от Ivanti, да импортират отново архивираните конфигурации и да анулират всички свързани или изложени на риск сертификати, ключове и пароли, за да могат да върнат изолираните устройства обратно онлайн.

На федералните агенции, които са открили компрометирани продукти на Ivanti в мрежите си, беше казано да приемат, че всички свързани акаунти в домейна са компрометирани, и да деактивират присъединените/регистрираните устройства (в облачни среди) или да извършат двойно възстановяване на паролата за всички акаунти и да анулират Kerberos тикерите и облачните токени (в хибридни настройки).

Национални банди са използвали някои от уязвимостите в сигурността, споменати от CISA в днешната консултация, като нулеви дни, преди да бъдат използвани в по-голям мащаб от широк кръг  заплахи за пускане на множество персонализирани щамове на зловреден софтуер.

Друг нулев ден на Connect Secure, проследен като CVE-2021-22893, беше използван от предполагаеми китайски групи за заплахи през 2021 г. за пробив в десетки правителствени, отбранителни и финансови организации в САЩ и Европа.

 

Източник: По материали от Интернет

Подобни публикации

19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
18 април 2024

Akira ransomware е събрала 42 млн. долара от ре...

Според съвместна препоръка на ФБР, CISA, Европейския център за кибе...
18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
Бъдете социални
Още по темата
05/04/2024

Как и защо да правите резер...

Защитата на данните продължава да бъде...
29/03/2024

Надпреварата за нулеви дни ...

Според Google напредналите противници все повече...
27/03/2024

Какво представлява защитата...

Киберпрестъпниците все по-често използват нови стратегии...
Последно добавени
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
18/04/2024

Платформата за фишинг LabHo...

LabHost, голяма платформа за фишинг като...
18/04/2024

Компания за управление на к...

В сряда компанията за риск мениджмънт...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!