Yönetişim ve Risk Yönetimi, Devlet, Sektöre Özel
CISA, Ajansların Cuma Gece Yarısına Kadar Ivanti VPN Cihazlarının Bağlantısını Kesip Sıfırlaması Gerektiğini Söyledi
Sayın Mihir (MihirBagwe) •
2 Şubat 2024
ABD federal kurumlarının, Ivanti VPN cihazlarının bağlantısını kesmek ve bunları ağa yeniden bağlamadan önce fabrika ayarlarına sıfırlamak için Cuma gece yarısına kadar süreleri var.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın Salı günü yayınladığı bir direktif, kimlik doğrulama veya kimlik yönetimi hizmetlerinin internete açık hale gelmesi pahasına bile federal kurumlara ağ geçitlerini sıfırlamalarını emrediyor. Yönerge, Utahlı yazılım geliştiricisi Ivanti’nin, olası bir Çin casusluk korsanlığı operasyonu tarafından istismar edilen bir çift güvenlik açığına ek olarak başka bir sıfır gün kümesini açıklamasından kısa bir süre sonra geldi (bkz: Şüpheli Çinli Hackerlar 2 Ivanti Zero-Day’i İstismar Ediyor).
Ivanti cihazlarını tekrar çevrimiçi duruma getirmek için kurumların yapılandırmalarını dışa aktarması, ağ geçitlerini fabrika ayarlarına sıfırlaması, yamalı yazılım sürümlerini kullanarak yeniden oluşturması ve bağlı veya açığa çıkan tüm sertifikaları, anahtarları ve parolaları iptal etmesi gerekiyor.
Bu ayın başlarında güvenlik araştırmacıları, bilgisayar korsanlarının kimlik doğrulamayı atlamak için CVE-2023-46805 ve CVE-2024-21887 olarak izlenen iki kusuru zincirlediğini ortaya çıkardıktan sonra, Salı günü Ivanti, ağ geçidi cihazları için kademeli bir programla yamalar yayınlamaya başladı. çok faktörlü kimlik doğrulama dahil ve uzaktan kod yürütme olanağı sağlıyor. Yamalar aynı zamanda yeni sıfır gün sorunlarını (bir ayrıcalık yükseltme güvenlik açığı olan CVE-2024-21888) ve bir SAML bileşeninde bulunan sunucu tarafı istek sahteciliği kusuru olan CVE-2024-21893’ü de çözüyor.
Şirket, yama içermeyen etkilenen ürünler için XML dosyası olarak indirilebilen azaltıcı önlemler geliştirdi.
Ocak ortasında bir CISA yetkilisi gazetecilere 15 federal kurumun Ivanti’nin müşterisi olduğunu söyledi. Yetkili, kurumların isimlerini vermeyi veya tehdit aktörlerinin federal sistemlere başarılı bir şekilde erişim sağlayıp sağlamadığını açıklamayı reddetti.
Shadowserver Vakfı dünya çapında 21.400’den fazla Ivanti VPN örneğini izledi ve 1 Şubat’ta yaklaşık 330 saldırıya uğramış örnek saydı.
Siber tehdit istihbarat firması Mandiant’tan araştırmacılar Salı günü, savunmasız Ivanti cihazlarının istismarının muhtemelen Aralık ayında sıfır günleri hacklemeye başlayan şüpheli Çinli casusluk korsanının ötesine yayıldığı konusunda uyardı. Mandiant, “muhtemelen ek grupların” sıfır günden yararlandığını söyledi.
Şirket ayrıca Ivanti’nin 10 Ocak’ta yayınladığı ilk hafifletme adımları için “yüksek hedefli” bir geçici çözüm belirledi. Tehdit aktörü, Bushwalk adlı bir web kabuğunu dağıtmak için hafifletme bypass tekniğini kullanıyor. Bazı durumlarda bilgisayar korsanı, web kabuğunu dağıttıktan sonra etkinlik göstergelerini kaldırdı ve sistemi temiz bir duruma geri yükledi; bu da enfeksiyonun Ivanti bütünlük kontrol aracına karşı dayanıklı olmasını sağladı.
CISA, etkilenen federal kurumlara tüm bağlantılı etki alanı hesaplarının ele geçirildiğini varsaymaları gerektiğini söyledi ve onlara tüm hesaplar için çift parola sıfırlama işlemi yapmaları, Kerberos biletlerini iptal etmeleri ve ardından hibrit dağıtımlarda veya buluta kayıtlı bulut hesapları için belirteçleri iptal etmeleri için 1 Mart’a kadar süre verdi. cihazlar – buluttaki cihaz belirteçlerini iptal edin.