ABD siber güvenlik kurumu CISA, birden fazla yazılım hatası nedeniyle kötü niyetli kullanım riski nedeniyle federal kurumlara Ivanti VPN cihazlarının bağlantısını acilen kesmelerini emretti.
Bir güncellemede acil durum direktifi İlk olarak geçen hafta yayınlanan CISA, artık tüm federal sivil yürütme organı kurumlarının zorunlu kılınmasını zorunlu kılıyor. İç Güvenlik ve Menkul Kıymetler ve Borsa Komisyonunu içerir — şu anda kötü niyetli bilgisayar korsanları tarafından istismar edilen çok sayıda sıfır gün güvenlik açığının oluşturduğu “ciddi tehdit” nedeniyle tüm Ivanti VPN cihazlarının bağlantısını kesin.
Federal kurumlara genellikle güvenlik açıklarına karşı yama yapmaları için haftalar süre verilmiş olsa da, CISA, Ivanti VPN cihazlarının bağlantısının 48 saat içinde kesilmesini emretti.
“Etkilenen ürünleri (Ivanti Connect Secure veya Ivanti Policy Secure çözümleri) çalıştıran ajansların aşağıdaki görevleri derhal yerine getirmesi gerekmektedir: Mümkün olan en kısa sürede ve en geç 2 Şubat 2024 Cuma 23:59’a kadar tüm Ivanti Connect Secure örneklerinin bağlantısını kesin ve Ivanti Policy Acente ağlarından güvenli çözüm ürünleri”, Çarşamba günü güncellenen acil durum direktifini okuyor.
CISA’nın uyarısı, Ivanti’nin aktif olarak istismar edilen üçüncü bir sıfır gün kusurunu ortaya çıkardığını söylemesinden birkaç saat sonra geldi.
Güvenlik araştırmacıları, Çin devlet destekli bilgisayar korsanlarının Aralık ayından bu yana CVE-2023-46805 ve CVE-2024-21887 olarak takip edilen Ivanti Connect Secure kusurlarından en az ikisini kullandığını söylüyor. Ivanti Çarşamba günü yaptığı açıklamada, CVE-2024-21888 ve CVE-2024-21893 olmak üzere iki ek kusur keşfettiğini ve bunlardan ikincisinin halihazırda “hedefli” saldırılarda kullanıldığını söyledi. CISA daha önce “federal kurumların başlangıçta bazı hedef alındığını gözlemlediğini” söylemişti.
Siber güvenlik şirketi Volexity’nin kurucusu Steven Adair, Perşembe günü TechCrunch’a bugüne kadar en az 2.200 Ivanti cihazının ele geçirildiğini söyledi. Bu, şirketin bu ayın başlarında takip ettiği 1.700 rakamından 500’lük bir artışa işaret ediyor, ancak Volexity “toplam sayının muhtemelen çok daha yüksek olduğunu” belirtiyor.
Acil durum direktifinin güncellemesinde CISA, kurumlara, savunmasız Ivanti ürünlerinin bağlantısını kestikten sonra, kurumların etkilenen cihaza bağlı tüm sistemlerde tehdit avına devam etmesi, açığa çıkabilecek kimlik doğrulama veya kimlik yönetimi hizmetlerini izlemesi ve denetlemeye devam etmesi gerektiğini söyledi. ayrıcalık düzeyinde erişim hesapları.
CISA ayrıca Ivanti cihazlarının çevrimiçi çalışmaya geri döndürülmesiyle ilgili talimatlar da verdi ancak federal kurumlara bunu yapmaları için bir son tarih vermedi.
“CISA, federal kurumları, tamamen yeni ve yamalı bir kurulum olarak kabul edilebilecek bir yöntemin dağıtımı konusunda etkili bir şekilde yönlendirdi. [Ivanti Connect Secure] Adari, TechCrunch’a “VPN cihazlarının tekrar çevrimiçi hale getirilmesi için bir gereklilik” dedi. “Herhangi bir kuruluş, cihazının bilinen, iyi ve güvenilir bir durumdan çalıştırıldığından tam olarak emin olmak istiyorsa, bu muhtemelen en iyi hareket tarzıdır.”
Ivanti bu hafta, CISA’nın bir bildiride uyarmasının ardından aktif olarak yararlanılan üç güvenlik açığından etkilenen bazı yazılım sürümleri için yamaları kullanıma sundu. danışma Kötü niyetli saldırganların ilk iki güvenlik açığı için yayınlanan hafifletici önlemleri atladığı görüldü. Ivanti ayrıca bilgisayar korsanlarının ağlarında kalıcılık kazanmasını önlemek için müşterilerini yama yapmadan önce cihazları fabrika ayarlarına sıfırlamaya çağırdı.