CISA, ABD federal kurumlarına Cumartesi gününden önce aktif olarak istismar edilen birçok hataya karşı savunmasız olan tüm Ivanti Connect Secure ve Policy Secure VPN cihazlarının bağlantısını kesmelerini emretti.
Bu gerekli eylem, Federal Sivil Yürütme Organı (FCEB) kurumlarının ağlarındaki tüm ICS ve IPS cihazlarını iki sıfır gün aşımına karşı acilen güvence altına almasını zorunlu kılan, geçen hafta yayınlanan bu yılın ilk acil durum direktifine (ED 24-01) ek bir talimatın parçasıdır. birden fazla tehdit aktörünün vahşi ortamda yoğun şekilde kullanılmasına yanıt olarak ortaya çıkan kusurlar.
Ivanti cihazları şu anda Aralık ayından bu yana sıfır gün olarak CVE-2023-46805 kimlik doğrulama bypassını ve CVE-2024-21887 komut ekleme güvenlik kusurlarını zincirleyen saldırılarda hedefleniyor.
Şirket ayrıca, aktif olarak istismar edilen üçüncü bir sıfır gün (CVE-2024-21893 olarak takip edilen sunucu tarafı istek sahteciliği güvenlik açığı) konusunda da uyarıda bulunarak, tehdit aktörlerinin savunmasız ICS, IPS ve ZTA ağ geçitlerinde kimlik doğrulamayı atlamasına olanak sağladı.
Çarşamba günü Ivanti, bu üç kusurdan etkilenen bazı yazılım sürümleri için güvenlik yamaları yayınladı ve aynı zamanda hala bir yama bekleyen veya devam eden saldırılara karşı hemen güvence altına alınamayan cihazlar için hafifletme talimatları da sağlıyor.
Dün Ivanti, saldırganların yazılım yükseltmeleri arasında ağlarında kalıcılık kazanma girişimlerini engellemek için müşterilerini yama uygulamadan önce savunmasız cihazları fabrika ayarlarına sıfırlamaya çağırdı.
Shodan şu anda 22.000’den fazla Ivanti ICS VPN’nin çevrimiçi ortamda açığa çıktığını görüyor, tehdit izleme platformu Shadowserver ise 21.400’den fazlasını izliyor.
Gölge sunucusu ayrıca izler Ivanti VPN örneklerinin sayısı dünya çapında her gün ele geçirildi ve 31 Ocak’ta neredeyse 390 saldırıya uğramış cihaz keşfedildi.
CISA: Cumartesiye kadar tüm Ivanti VPN’lerinin bağlantısını kesin
Güvenliği ihlal edilmiş Ivanti VPN cihazlarının oluşturduğu “önemli tehdide” ve ciddi güvenlik ihlali riskine yanıt olarak, CISA artık tüm federal kurumlara “Ivanti Connect Secure ve Ivanti Policy Secure çözüm ürünlerinin tüm örneklerinin ajans ağlarından bağlantısını en kısa sürede kesmelerini” zorunlu kılıyor. mümkün olduğu kadar” ancak en geç 2 Şubat Cuma günü saat 23:59’a kadar.
Cihazlar ağdan kaldırıldıktan sonra kurumların, bağlantısı kesilen Ivanti cihazlarıyla bağlantılı veya yakın zamanda bu cihazlara bağlanan sistemlerde tehlike işaretleri aramaya devam etmesi gerekiyor.
Ayrıca, açığa çıkmaya açık kimlik doğrulama veya kimlik yönetimi hizmetlerini izlemeye, kurumsal sistemleri izole etmeye ve ayrıcalık düzeyindeki erişim hesaplarını denetlemeye devam etmeleri gerekir.
Ivanti cihazlarını tekrar çevrimiçi hale getirmek için kurumların yapılandırmalarını dışa aktarması, fabrika ayarlarına sıfırlaması, yamalı yazılım sürümlerini kullanarak yeniden oluşturması, yedeklenen yapılandırmaları yeniden içe aktarması ve bağlı veya açıkta kalan tüm sertifikaları, anahtarları ve parolaları iptal etmesi gerekiyor.
Bir sonraki aşamada, ağlarında Ivanti ürünlerini etkileyen federal kurumlar ayrıca tüm bağlı alan adı hesaplarının ele geçirildiğini varsaymalı ve birleştirilmiş/kayıtlı cihazları (bulut ortamlarında) devre dışı bırakmalı veya tüm hesaplar için çift parola sıfırlama işlemi gerçekleştirmeli ve Kerberos işaretleyicilerini ve iptallerini iptal etmelidir. bulut belirteçleri (hibrit kurulumlarda).
Her kurtarma aşamasından sonra kurumlar, gerekli tüm eylemlere ilişkin durumlarını, siber güvenlik kurumu tarafından sağlanan bir CyberScope şablonunu kullanarak CISA’ya bildirmelidir. Ayrıca CISA’nın talebi üzerine veya tüm eylemler tamamlandığında ilerlemeleriyle ilgili güncellemeler vermeleri gerekecek.
CISA, “Bu Ek Yönerge, CISA, etkilenen yazılımı çalıştıran tüm kurumların bu Yönerge uyarınca gerekli tüm eylemleri gerçekleştirdiğini belirleyene veya Yönerge diğer uygun eylemlerle sonlandırılana kadar yürürlükte kalacaktır” dedi.