Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Sivil Yürütme Organı kurumlarına, federal ağlarda kullanılan tüm Ivanti cihazlarını ortadan kaldırmaları için 48 saat süre verdi. birden fazla tehdit aktörü birden fazla güvenlik açığından aktif olarak yararlanıyor bu sistemlerde. Emir, geçen haftanın acil durum direktifine (ED 24-01) eşlik eden ek talimatın bir parçasıdır.
Güvenlik araştırmacıları, UNC5221 olarak bilinen Çin devlet destekli siber saldırganların, hem sıfır gün olarak hem de Ocak ayının başındaki açıklamadan bu yana en az iki güvenlik açığından yararlandığını söylüyor – kimlik doğrulama bypass’ı (CVE-2023-46895) ve bir komut enjeksiyonu (CVE-2024-21887) kusur — Ivanti Connect Secure’da. Buna ek olarak Ivanti, bu hafta sunucu tarafında sahtecilik talebinde bulunulduğunu söyledi (CVE-2024-21893) kusur zaten “hedefli” saldırılarda sıfır gün olarak kullanılmış ve Ivanti Connect Secure ve Ivanti Policy Secure’un Web bileşeninde bir ayrıcalık yükseltme güvenlik açığı ortaya çıkarmıştır (CVE-2024-21888) vahşi doğada saldırılarda henüz gözlemlenmeyen bir şey.
“Etkilenen Ivanti Connect Secure veya Ivanti Policy Secure ürünlerini çalıştıran acentelerin aşağıdaki görevleri derhal yerine getirmesi gerekmektedir: Mümkün olan en kısa sürede ve en geç 2 Şubat 2024 Cuma günü saat 23:59’a kadar tüm Ivanti Connect Secure ve Ivanti Policy Secure örneklerinin bağlantısını kesin acente ağlarından çözüm ürünleri” CISA tamamlayıcı yönde yazdı.
CISA’nın direktifi şu şekilde sıralanan 102 kurum için geçerlidir: “federal sivil yürütme organı kurumlarıİç Güvenlik Bakanlığı, Enerji Bakanlığı, Dışişleri Bakanlığı, Personel Yönetimi Ofisi ve Menkul Kıymetler ve Borsa Komisyonu’nu (ancak Savunma Bakanlığı hariç) içeren bir liste.
Ortamlarında Ivanti cihazları bulunan özel kuruluşların, ağlarını potansiyel istismardan korumak için aynı adımları atmaya öncelik vermeleri şiddetle tavsiye edilir.
Ivanti VPN Siber Riski: Her Şeyi Ortadan Kaldırın
Yaklaşık 48 saat öncesinden bildirimde bulunularak ürünlerin bağlantılarının kesilmesi değil, bağlantılarının kesilmesi talimatı “benzeri görülmemiş bir durum” Ünlü bulut güvenliği araştırmacısı Scott Piper. Ivanti cihazları kuruluşun ağını daha geniş İnternet’e bağladığından, bu kutuların tehlikeye atılması, saldırganların potansiyel olarak etki alanı hesaplarına, bulut sistemlerine ve diğer bağlı kaynaklara erişebileceği anlamına gelir. Mandiant ve Volexity’nin birden fazla tehdit aktörünün bulunduğuna dair son uyarıları Kütle sayılarındaki kusurlardan faydalanmak Muhtemelen CISA’nın cihazların fiziksel olarak bağlantısını hemen kesmekte ısrar etmesinin nedeni budur.
CISA, güvenlik ihlali göstergelerinin (IoC’ler) aranmasına ve cihazlar yeniden oluşturulduktan sonra her şeyin ağlara nasıl yeniden bağlanacağına ilişkin talimatlar sağladı. CISA ayrıca, bu eylemleri gerçekleştirmek için iç kapasiteye sahip olmayan kurumlara teknik yardım sağlayacağını da belirtti.
Kurumlara, cihazlara bağlı veya yakın zamanda bağlanmış sistemler üzerinde tehdit avlama faaliyetlerine devam etmeleri ve sistemleri kurumsal kaynaklardan “mümkün olan en yüksek derecede” izole etmeleri talimatı verildi. Ayrıca açığa çıkmış olabilecek tüm kimlik doğrulama veya kimlik yönetimi hizmetlerini izlemeli ve ayrıcalık düzeyindeki erişim hesaplarını denetlemelidirler.
Cihazlar Nasıl Yeniden Bağlanır
Ivanti cihazlarının ağa yeniden bağlanması mümkün değil; güvenlik açıklarını ve saldırganların geride bırakmış olabileceği her şeyi ortadan kaldırmak için yeniden oluşturulmaları ve yükseltilmeleri gerekiyor.
Ivanti, “Eğer bir istismar meydana geldiyse, tehdit aktörünün, istismar sırasında ağ geçidine yüklenen özel sertifikalarla birlikte çalışan konfigürasyonlarınızın bir dışa aktarımını almış ve arkasında gelecekte arka kapıdan erişim sağlayan bir Web kabuk dosyası bırakmış olabileceğini düşünüyoruz.” bir şekilde yazdı Cihazın nasıl yeniden oluşturulacağını açıklayan bilgi bankası makalesi. “Bu Web kabuğunun amacının, güvenlik açığı giderildikten sonra ağ geçidine bir arka kapı sağlamak olduğuna inanıyoruz; bu nedenle, güvenlik açığının azaltılmasının ardından daha fazla istismarın önlenmesi için müşterilerimize sertifikaları iptal etmelerini ve değiştirmelerini öneriyoruz.”
Ajanslara öncelikle cihazın yapılandırma ayarlarını dışa aktarmaları, fabrika ayarlarına sıfırlama yapmaları ve ardından cihazı yeniden oluşturmaları talimatı verilir.
Cihazın yazılımının resmi indirme portalı aracılığıyla aşağıdaki sürümlerden birine yükseltilmesi gerekir: 9.1R18.3, 22.4R2.2, 22.5R1.1, 9.1R14.4 veya 9.1R17.2.
Yükseltme tamamlandıktan sonra yapılandırma ayarları cihaza geri aktarılabilir.
Varsayım, cihazların güvenliğinin ihlal edildiği yönündedir; bu nedenle bir sonraki adım, bağlı veya açığa çıkan tüm sertifikaları, anahtarları ve parolaları iptal edip yeniden düzenlemektir. Bu, yönetici etkinleştirme parolasının, depolanan API anahtarlarının ve kimlik doğrulama sunucusu yapılandırması için kullanılan hizmet hesapları gibi ağ geçidinde tanımlanan herhangi bir yerel kullanıcının parolasının sıfırlanmasını içerir.
Ajansların bu adımların durumunu 5 Şubat 23:59 EST’ye kadar CISA’ya bildirmesi gerekiyor.
Uzlaşmayı Varsayın
Cihazlara bağlı tüm hizmetlerin ve etki alanı hesaplarının ele geçirildiğini varsaymak ve buna göre hareket etmek, hangi sistemlerin hedef alındığını tahmin etmeye çalışmaktan daha güvenlidir. Bu nedenle ajansların şirket içi hesaplar için şifreleri iki kez sıfırlaması (çift şifre sıfırlama), Kerberos biletlerini iptal etmesi ve bulut hesapları için belirteçleri iptal etmesi gerekir. Cihaz belirteçlerinin iptal edilmesi için buluta katılmış/kayıtlı cihazların devre dışı bırakılması gerekiyordu.
Ajansların 1 Mart saat 23:59 EST’ye kadar tüm adımlardaki durumlarını bildirmeleri gerekmektedir.
