Η CISA έδωσε εντολή στις ομοσπονδιακές υπηρεσίες των ΗΠΑ να αποσυνδέσουν όλες τις συσκευές Ivanti Connect Secure και
Policy
Secure VPN που είναι ευάλωτες σε πολλαπλά σφάλ
ματ
α που έχουν εκμεταλλευτεί ενεργά πριν από το Σάββατο.
Αυτή η απαιτούμενη ενέργεια αποτελεί μέρος μιας συμπληρωματικής κατεύθυνσης της πρώτης φετινής οδηγίας έκτακτης ανάγκης (ED 24-01) που εκδόθηκε την περασμένη εβδομάδα και δίνει εντολή στις υπηρεσίες του Federal Civilian
Executive
Branch (FCEB) να ασφαλίσουν επειγόντως όλες τις συσκευές ICS και IPS στο δίκτυό τους έναντι δύο μηδενικών ημερών ελαττώματα ως απάντηση στην εκτεταμένη εκμετάλλευση στη φύση από πολλούς παράγοντες
απε
ιλής.
Οι συσκευές Ivanti στοχοποιούνται επί του παρόντος σε επιθέσεις που αλυσοδένουν την παράκαμψη ελέγχου
ταυτότητα
ς CVE-2023-46805 και τις ελλείψεις ασφαλείας της εντολής έγχυσης CVE-2024-21887 από τον Δεκέμβριο ως μηδενικές ημέρες.
Η εταιρεία προειδοποίησε επίσης για μια τρίτη ενεργή εκμετάλλευση zero-day (μια ευπάθεια πλαστογραφίας αιτήματος από την πλευρά του διακομιστή που παρακολουθείται ως CVE-2024-21893), επιτρέποντας στους παράγοντες απειλών να παρακάμπτουν τον έλεγχο ταυτότητας σε ευάλωτες πύλες ICS, IPS και ZTA.
Την Τετάρτη, η Ivanti κυκλοφόρησε ενημερώσεις κώδικα ασφαλείας για ορισμένες εκδόσεις λογισμικού που επηρεάζονται από τα τρία ελαττώματα και παρέχει επίσης οδηγίες μετριασμού για συσκευές που εξακολουθούν να περιμένουν μια ενημερωμένη έκδοση κώδικα ή που δεν μπορούν να ασφαλιστούν αμέσως από συνεχείς επιθέσεις.
Χθες, η Ivanti προέτρεψε τους πελάτες να
επαναφορά εργοστασιακών ρυθμίσεων ευάλωτων συσκευών
πριν επιδιορθωθούν για να αποτρέψουν τις προσπάθειες των εισβολέων να αποκτήσουν επιμονή στο δίκτυό τους μεταξύ των αναβαθμίσεων λογισμικού.
Ο Shodan αυτή τη στιγμή βλέπει
πάνω από 22.000
Τα Ivanti ICS VPN εκτίθενται στο διαδίκτυο, ενώ η πλατφόρμα παρακολούθησης απειλών Shadowserver παρακολουθεί
περισσότερα από 21.400
.
Shadowserver
επίσης παρακολουθεί
ο αριθμός των περιπτώσεων Ivanti VPN που διακυβεύονται παγκοσμίως καθημερινά, με
σχεδόν 390 χακαρισμένες συσκευές
ανακαλύφθηκε στις 31 Ιανουαρίου.
Οι συσκευές Ivanti VPN εκτίθενται στο διαδίκτυο (Shodan)
CISA: Αποσυνδέστε όλα τα Ivanti VPN μέχρι το Σάββατο
Ως απάντηση στην «ουσιαστική απειλή» και τον σημαντικό κίνδυνο παραβιάσεων ασφαλείας που δημιουργούνται από παραβιασμένες συσκευές Ivanti VPN, η CISA αναθέτει πλέον σε όλες τις ομοσπονδιακές υπηρεσίες να «αποσυνδέσουν όλες τις περιπτώσεις προϊόντων λύσης Ivanti Connect Secure και Ivanti Policy Secure από δίκτυα αντιπροσωπειών», «το συντομότερο όσο το δυνατόν», αλλά το αργότερο μέχρι τις 23:59 της Παρασκευής 2 Φεβρουαρίου.
Αφού αφαιρεθούν οι συσκευές από το δίκτυο, οι υπηρεσίες πρέπει επίσης να συνεχίσουν να αναζητούν ενδείξεις συμβιβασμού σε συστήματα που συνδέονται ή έχουν συνδεθεί πρόσφατα με τις αποσυνδεδεμένες συσκευές Ivanti.
Επιπλέον, πρέπει να συνεχίσουν να παρακολουθούν υπηρεσίες ελέγχου ταυτότητας ή διαχείρισης ταυτότητας που είναι επιρρεπείς σε έκθεση, να απομονώνουν εταιρικά συστήματα και να ελέγχουν τους λογαριασμούς πρόσβασης σε επίπεδο προνομίων.
Για να επαναφέρουν τις συσκευές Ivanti στο διαδίκτυο, οι εταιρείες πρέπει να εξάγουν τη διαμόρφωσή τους,
εργοστασιακή επαναφορά τους
ανακατασκευάστε τα χρησιμοποιώντας ενημερωμένες εκδόσεις λογισμικού, εισαγάγετε ξανά τις παραμέτρους που έχουν δημιουργηθεί αντίγραφα ασφαλείας και ανακαλέστε όλα τα συνδεδεμένα ή εκτεθειμένα πιστοποιητικά, κλειδιά και κωδικούς πρόσβασης.
Στο επόμενο στάδιο, οι ομοσπονδιακές υπηρεσίες που είχαν επηρεάσει τα προϊόντα Ivanti στα δίκτυά τους θα πρέπει επίσης να υποθέσουν ότι όλοι οι συνδεδεμένοι λογαριασμοί τομέα έχουν παραβιαστεί και να απενεργοποιήσουν τις συνδεδεμένες/εγγεγραμμένες συσκευές (σε περιβάλλοντα cloud) ή να πραγματοποιήσουν διπλή επαναφορά κωδικού πρόσβασης για όλους τους λογαριασμούς και να ανακαλέσουν τα tickers Kerberos και cloud tokens (σε υβριδικές ρυθμίσεις).
Μετά από κάθε στάδιο ανάκτησης, οι εταιρείες πρέπει να αναφέρουν την κατάστασή τους για όλες τις απαιτούμενες ενέργειες στην CISA χρησιμοποιώντας ένα πρότυπο CyberScope που παρέχεται από την υπηρεσία ασφάλειας στον κυβερνοχώρο. Θα πρέπει επίσης να ενημερώσουν για την πρόοδό τους κατόπιν αιτήματος της CISA ή όταν ολοκληρωθούν όλες οι ενέργειες.
“Αυτή η συμπληρωματική οδηγία παραμένει σε ισχύ έως ότου η CISA καθορίσει ότι όλες οι υπηρεσίες που εκμεταλλεύονται το επηρεαζόμενο λογισμικό έχουν πραγματοποιήσει όλες τις απαιτούμενες ενέργειες από αυτήν την Οδηγία ή ότι η Οδηγία τερματιστεί μέσω άλλης κατάλληλης ενέργειας.”
είπε η CISA
.
VIA:
bleepingcomputer.com
