Οδηγία έκτακτης ανάγκης της CISA: Μετριάστε αμέσως τις μηδενικές ημέρες του Ivanti

By

Marizas Dimitris

On

Ιαν 19, 2024

Η CISA εξέδωσε την πρώτη φετινή οδηγία έκτακτης ανάγκης

που

διέταξε τις υπηρεσίες του Federal Civilian Executive Branch (FCEB) να μετριάσουν αμέσως δύο ελαττώ

ματ

α του Ivanti Connect Secure και του Ivanti Policy Secure zero day ως απάντηση στην εκτεταμένη και ενεργή εκμετάλλευση από πολλούς παράγοντες απειλών.

Αυτή είναι μια αναμενόμενη εξέλιξη, δεδομένου ότι οι ευάλωτες

συσκευές

Ivanti στοχεύουν τώρα σε εκτεταμένες επιθέσεις που αλυσοδένουν την παράκαμψη ελέγχου ταυτότητας CVE-2023-46805 και τις ευπάθειες έγχυσης εντολών CVE-2024-21887 από τον Δεκέμβριο και ο προμηθευτής δεν έχει ακόμη εκδώσει ενημερώσεις κώδικα ασφαλείας.

Όταν είναι αλυσοδεμένες, οι δύο μηδενικές ημέρες Ivanti επιτρέπουν στους επιτιθέμενους να κινούνται πλευρικά μέσα στο δίκτυο ενός στόχου, να διεγείρουν δεδομένα και να δημιουργούν μόνιμη πρόσβαση στο σύστημα αναπτύσσοντας κερκόπορτες.

«Η CISA έχει διαπιστώσει ότι αυτές οι συνθήκες αποτελούν απαράδεκτο κίνδυνο για τις υπηρεσίες του Ομοσπονδιακού Πολιτικού Εκτελεστικού Κλάδου (FCEB) και απαιτούν επείγουσα δράση», η υπηρεσία κυβερνοασφάλειας

είπε την Παρασκευή

.

«Αυτός ο προσδιορισμός βασίζεται στην εκτεταμένη εκμετάλλευση των τρωτών σημείων από πολλαπλούς παράγοντες απειλής, στην επικράτηση των προϊόντων που επηρεάζονται στην ομοσπονδιακή επιχείρηση, στις υψηλές δυνατότητες για συμβιβασμό των συστημάτων πληροφοριών πρακτορείων, στον αντίκτυπο ενός επιτυχημένου συμβιβασμού και στην πολυπλοκότητα του προτεινόμενου μετριασμούς».

Η ΕΔ 24-01 απαιτούσε ενέργειες

Σύμφωνα με την οδηγία έκτακτης ανάγκης ED 24-01, οι ομοσπονδιακές υπηρεσίες πρέπει τώρα να εφαρμόσουν άμεσα

Τα δημοσίως δημοσιοποιημένα μέτρα μετριασμού του Ivanti

για να μπλοκάρει τις προσπάθειες επίθεσης.

Οι

εταιρείες

υποχρεούνται επίσης να χρησιμοποιούν το Εργαλείο Εξωτερικού Ελέγχου Ακεραιότητας της Ivanti και:

Αναφέρετε αμέσως ενδείξεις συμβιβασμού στην CISA μέσω του
Καταργήστε τα παραβιασμένα προϊόντα από τα δίκτυα πρακτορείων. Ξεκινήστε την ανάλυση περιστατικών, διατηρήστε δεδομένα από τις παραβιασμένες συσκευές μέσω της δημιουργίας εικόνων εγκληματολογικού σκληρού δίσκου και αναζητήστε ενδείξεις περαιτέρω συμβιβασμού.
Επαναφέρετε ένα παραβιασμένο προϊόν σε λειτουργία, επαναφέρετε τη συσκευή με το επηρεαζόμενο λογισμικό λύσης Ivanti στις προεπιλεγμένες εργοστασιακές ρυθμίσεις και αφαιρέστε το διάνυσμα επίθεσης εφαρμόζοντας

Τα ελαφρυντικά του Ιβάντι

.

Για να αποκατασταθούν πλήρως οι επηρεαζόμενες συσκευές και να τεθούν ξανά σε λειτουργία, πρέπει να ακολουθήσουν

Οδηγίες αποκατάστασης του Ιβάντι

και μετά:

Ανάκληση και επανέκδοση τυχόν αποθηκευμένων πιστοποιητικών.
Επαναφέρετε τον κωδικό πρόσβασης ενεργοποίησης διαχειριστή.
Επαναφορά αποθηκευμένων κλειδιών API.
Επαναφέρετε τον κωδικό πρόσβασης οποιουδήποτε τοπικού χρήστη που ορίζεται στην πύλη, συμπεριλαμβανομένων των λογαριασμών υπηρεσίας που χρησιμοποιούνται για τη διαμόρφωση(ες) διακομιστή εξουσιοδότησης.
Εφαρμόστε ενημερώσεις που αντιμετωπίζουν τις δύο ευπάθειες που αναφέρονται στην παρούσα Οδηγία στα επηρεαζόμενα προϊόντα μόλις γίνουν διαθέσιμα και το αργότερο 48 ώρες μετά την κυκλοφορία τους από την Ivanti.
Μία εβδομάδα μετά την έκδοση αυτής της Οδηγίας, αναφέρετε στην CISA (χρησιμοποιώντας το παρεχόμενο πρότυπο) μια πλήρη απογραφή όλων των παρουσιών προϊόντων Ivanti Connect Secure και Ivanti Policy Secure σε δίκτυα πρακτορείων, συμπεριλαμβανομένων λεπτομερειών για τις ενέργειες που έγιναν και τα αποτελέσματα.

Η υπηρεσία παρακολούθησης απειλών Shadowserver παρακολουθεί αυτήν τη στιγμή

περισσότερες από 16.200 συσκευές ICS VPN

εκτίθενται στο διαδίκτυο,

πάνω από 4.700

στις Ηνωμένες Πολιτείες (βλέπει επίσης ο Shodan

σχεδόν 17.000

Συσκευές Ivanti ICS που εκτίθενται στο Διαδίκτυο).

Ο Shadowserver είναι επίσης

παρακολούθηση

τον αριθμό των παραβιασμένων παρουσιών του Ivanti Connect Secure VPN παγκοσμίως και

απόπειρες εκμετάλλευσης

με

περισσότερες από 420 χακαρισμένες συσκευές

εντοπίστηκε μόνο στις 18 Ιανουαρίου.

Οδηγία έκτακτης ανάγκης της CISA: Μετριάστε αμέσως τις μηδενικές ημέρες του Ivanti, Οδηγία έκτακτης ανάγκης της CISA: Μετριάστε αμέσως τις μηδενικές ημέρες του Ivanti, TechWar.GR — *Παραβιασμένες συσκευές Ivanti (Shadowserver)*

Έγινε ενεργή εκμετάλλευση για την απόρριψη crypto-miners, κακόβουλου λογισμικού

Η εταιρεία πληροφοριών απειλών Volexity

λέει

ότι ένας από τους επιτιθέμενους (μια ύποπτη ομάδα απειλών που υποστηρίζεται από το κινεζικό κράτος που παρακολουθείται ως UTA0178 και UNC5221) έχει ήδη παρακάμψει περισσότερες από 2.100 συσκευές Ivanti χρησιμοποιώντας μια παραλλαγή webshell GIFTEDVISITOR.

Κατά τη διερεύνηση αυτών των επιθέσεων, η Mandiant βρήκε πέντε προσαρμοσμένα στελέχη κακόβουλου λογισμικού που αναπτύχθηκαν σε συστήματα πελατών που είχαν παραβιαστεί με τελικό στόχο την κλοπή διαπιστευτηρίων, την ανάπτυξη webshells και πρόσθετα κακόβουλα ωφέλιμα φορτία.

Ο παράγοντας απειλών συγκεντρώνει και κλέβει δεδομένα λογαριασμού και περιόδου σύνδεσης και περισσότερες πληροφορίες από παραβιασμένα δίκτυα.

Τα θύματα που έχουν ανακαλυφθεί μέχρι στιγμής περιλαμβάνουν κυβερνητικά και στρατιωτικά τμήματα σε όλο τον κόσμο, εθνικές εταιρείες τηλεπικοινωνιών, αμυντικούς εργολάβους, εταιρείες

τεχν

ολογίας, τραπεζικούς, χρηματοοικονομικούς και λογιστικούς οργανισμούς, παγκόσμιες συμβουλευτικές εταιρίες και εταιρείες αεροδιαστημικής, αεροπορίας και μηχανικών.

Διαφέρουν πολύ σε μέγεθος και κυμαίνονται από μικρές επιχειρήσεις έως μερικούς από τους μεγαλύτερους οργανισμούς παγκοσμίως, συμπεριλαμβανομένων πολλών εταιρειών του Fortune 500 από διάφορους κλάδους της βιομηχανίας.

Οι επιτιθέμενοι έχουν επίσης δει από

Volexity

και

GreyNoise

ανάπτυξη εξόρυξης κρυπτονομισμάτων XMRig και ωφέλιμα φορτία κακόβουλου λογισμικού που βασίζονται σε Rust που εξακολουθούν να περιμένουν ανάλυση.

VIA:

bleepingcomputer.com