Araştırmacılar, açık Web’de uzaktan yönetim arayüzlerini açığa çıkaran, devlet ağlarında çalışan yüzlerce cihaz keşfettiler. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) sayesinde, bazı uzmanlara göre bu durum hızla – muhtemelen çok hızlı – değişecek.
13 Haziran’da CISA yayınlandı Bağlayıcı Operasyonel Direktif (BOD) 23-02, Federal Sivil Yürütme Şubesi (FCEB) ajans ağlarındaki uç cihazlarda çalışan İnternet’e açık yönetim arabirimlerini ortadan kaldırmak amacıyla. Duyuru çok geçmeden geldi CISA’nın Volt Typhoon hakkındaki tavsiyesiABD hükümet kuruluşlarına karşı casusluk kampanyalarında Fortinet FortiGuard cihazlarından yararlanan Çin devlet destekli gelişmiş kalıcı tehdit (APT).
BOİ 23-02’nin ne kadar önemli olacağını ölçmek için, Censys’teki araştırmacılar interneti taradı yönetim arayüzlerini açığa çıkaran cihazlar için federal sivil yürütme organı (FCEB) ajansları. Taramalar, yaklaşık 250 uygun cihazın yanı sıra BOD 23-02 kapsamı dışındaki bir dizi başka ağ güvenlik açığını ortaya çıkardı.
Censys’in güvenlik araştırmacısı Himaja Motheram, “Bu düzeyde bir maruz kalma muhtemelen acil bir paniği garanti etmese de, yine de endişe verici çünkü buzdağının sadece görünen kısmı olabilir” diyor. “Bu tür temel hijyen karşılanmazsa, daha derin ve daha kritik güvenlik sorunları olabileceğini gösteriyor.”
FCEB Kuruluşları Nasıl Maruz Kalır?
BOD 23-02 kapsamında nitelendirilen cihazlar arasında İnternet’e açık yönlendiriciler, anahtarlar, güvenlik duvarları, VPN yoğunlaştırıcılar, proxy’ler, yük dengeleyiciler, bant dışı sunucu yönetimi arabirimleri ve “yönetim arabirimlerinin uzaktan yönetim için ağ protokollerini kullandığı” diğer cihazlar bulunur. halka açık İnternet üzerinden,” diye açıkladı CISA — HTTP, FTP SMB ve diğerleri gibi protokoller.
Censys araştırmacıları, Adaptive Security Device Manager arabirimlerini, Cradlepoint yönlendirici arabirimlerini ve Fortinet ile SonicWall’ın popüler güvenlik duvarı ürünlerini açığa çıkaran çeşitli Cisco aygıtları da dahil olmak üzere bu tür yüzlerce aygıtı keşfetti. Ayrıca, FCEB ile ilgili ana bilgisayarlarda çalışan 15’ten fazla açığa çıkmış uzaktan erişim protokolü örneği buldular.
Arama o kadar boldu ki, GoAnywhere MFT ve MoveIt gibi açığa çıkmış dosya aktarım araçları, açığa çıkmış Barracuda e-posta güvenlik ağ geçitleri ve çeşitli feshedilmiş yazılım örnekleri dahil olmak üzere BOD 23-02’nin kapsamı dışındaki birçok federal ağ güvenlik açığını bile ortaya çıkardılar.
Kuruluşlar genellikle maruz kalma düzeylerini bilmezler veya maruz kalmanın sonuçlarını anlamazlar. Motheram, korumasız teçhizatı bulmanın oldukça basit olduğunu vurguluyor. “Ve bizim için önemsiz olan şey, dürüst olmak gerekirse, oradaki amatör tehdit aktörleri için muhtemelen daha da önemsiz.”
Edge Cihazları Nasıl Açığa Çıkarılır?
Nasıl oluyor da bu kadar çok cihaz, normalde çok incelenen devlet ağlarında açığa çıkıyor?
Intrusion CTO’su Joe Head, “yöneticinin rahatlığı, operasyonel güvenlik bilincinin olmaması, rakiplere saygı duyulmaması, varsayılan veya bilinen parolaların kullanılması ve görünürlük eksikliği” dahil olmak üzere çok sayıda nedene işaret ediyor.
Tanium’da uç nokta güvenliği direktörü James Cochran, “personel eksikliklerinin, fazla çalışan BT ekiplerinin ağ yönetimini kolaylaştırmak için kısayollar kullanmasına neden olabileceğini” ekliyor.
Sorunu daha da kötüleştirebilecek hükümete özgü tuzakları da düşünün. Cochran, “Potansiyel tehditler hakkında çok az gözetim ve endişeyle, cihazlar ‘görev açısından kritik’ kisvesi altında ağa eklenebilir, bu da onları tüm incelemelerden kurtarır,” diye yakınıyor. Ajanslar ayrıca ağ ve güvenlik entegrasyonlarındaki boşluklarla birleşebilir veya genişleyebilir. “Zamanla, genel ağlar, rastgele şeylerin birbirine bağlandığı ve neden olduğundan emin olmadığınız bir Mad Max filminden fırlamış bir şeye benzemeye başlar.”
BOD 23-02 İşleri Tersine Çevirecek mi?
CISA direktifinde, uygun cihazları taramaya başlayacağını ve sorumlu kurumları bilgilendireceğini belirtti. Bildirimin ardından, suç işleyen kurumların ya bu cihazların Web bağlantısını kesmeleri ya da “sıfır güven mimarisinin bir parçası olarak, arayüzün kendisinden ayrı bir politika uygulama noktası aracılığıyla arayüze erişim kontrolünü zorlayan yetenekleri dağıtmaları” için sadece 14 günleri olacaktır. .”
Bu iki haftalık süre, ilgili kurumları sistemlerini güvence altına almak için hızlı hareket etmeye zorlayacaktır. Ancak bunun zor olabileceğini kabul ediyor Motheram. “Teorik olarak, internetten açığa çıkan cihazları kaldırmak basit olmalıdır, ancak gerçek her zaman bu değildir. Erişim politikalarını değiştirirken başa çıkmanız gereken bazı bürokrasi sorunları olabilir,” diye açıklıyor.
Diğerleri yükün gereksiz olduğuna inanıyor. Cochran, “Bu sorumlu bir zaman çizelgesi değil” diyor. “Sorun çok yaygın olduğu için, belirlenen kurumlar üzerinde önemli etkiler olmasını beklerdim. Bu, bir demet kabloyu keserek çözmeye çalışmakla aynı şeydir.”
Diğerleri CISA’nın saçma sapan yaklaşımını alkışlıyor. Head, 14 günün beklemek için çok uzun olabileceğini savunarak, “Hiç yapılmaması gereken bir şeyi yapmayı bırakmak için bir zaman çizelgesi bulmak zor” diyor. “Yöneticiler ağ değişikliklerini düzeltirken beş dakika daha tavsiye edilebilir. Yönetim arabirimlerini halka açık İnternet’e maruz bırakmamak yıllardır standart bir uygulamadır, bu nedenle bunu zorunlu kılmak ihtiyatlı ve mantıklıdır.”