CISA, ABD federal ajanslarına Cumartesi gününden önce tüm Ivanti Connection Secure ve Politika Güvenli VPN cihazlarını, aktif olarak sömürülen birçok hataya karşı savunmasız olarak ayırmasını emretti.
Bu gerekli eylem, geçen hafta federal sivil yürütme şubesi (FCEB) ajanslarını iki sıfır güne karşı ağlarındaki tüm ICS ve IPS cihazlarını acilen güvence altına alan bu yılın ilk acil durum direktifine (ED 24-01) ek yönün bir parçasıdır. Çoklu tehdit aktörleri tarafından vahşi doğada geniş sömürüye yanıt olarak kusurlar.
Ivanti aletleri şu anda CVE-2023-46805 kimlik doğrulama bypass ve CVE-2024-21887 komut enjeksiyon güvenlik kusurlarını Aralık ayından bu yana sıfır günler olarak zincirleyen saldırılarla hedeflenmektedir.
Şirket ayrıca, üçüncü aktif olarak sömürülen sıfır gün (CVE-2024-21893 olarak izlenen bir sunucu tarafı isteği ambalge güvenlik açığı) uyardı ve tehdit aktörlerinin savunmasız ICS, IPS ve ZTA ağ geçitlerinde kimlik doğrulamasını atlamasına izin verdi.
Çarşamba günü, Ivanti üç kusurdan etkilenen bazı yazılım sürümleri için güvenlik yamaları yayınladı ve ayrıca hala bir yama bekleyen veya devam eden saldırılara karşı hemen güvence altına alınamayan cihazlar için hafifletme talimatları sağlıyor.
Dün, Ivanti müşterileri, saldırganların yazılım yükseltmeleri arasındaki ağlarında kalıcılık kazanma girişimlerine yamadan önce fabrikada savunmasız cihazları sıfırlamaya çağırdı.
Shodan şu anda çevrimiçi olarak maruz kalan 22.000'den fazla Ivanti ICS VPN'ini görürken, tehdit izleme platformu Shadowserver 21.400'den fazla izliyor.
Shadowserver ayrıca 31 Ocak'ta yaklaşık 390 hacklenmiş cihaz bulunarak, dünya çapında dünya çapında tehlikeye atılan Ivanti VPN örneklerinin sayısını da izler.
"Önemli tehdide" ve tehlikeye atılan Ivanti VPN cihazlarının ortaya koyduğu önemli güvenlik ihlallerine yanıt olarak, CISA artık tüm federal ajansları "Ivanti Connect Secure ve Ivanti Politika Güvenli Çözüm ürünlerinin tüm örneklerini ajans ağlarından ayırmaya zorlamaktadır." Mümkün olduğunca "ama en geç 23:59 2 Şubat Cuma günü.
Cihazlar ağdan kaldırıldıktan sonra, ajanslar ayrıca bağlantısı kesilen Ivanti cihazlarıyla bağlantılı veya yakın zamanda bağlı sistemlerde uzlaşma belirtileri için avlanmaya devam etmelidir.
Ayrıca, maruz kalmaya duyarlı kimlik doğrulama veya kimlik yönetimi hizmetlerini izlemeye, kurumsal sistemleri izole etmek ve ayrıcalık seviyesi erişim hesaplarını denetlemeye devam etmelidirler.
Ivanti aletlerini çevrimiçi olarak geri getirmek için ajanslar yapılandırmalarını dışa aktarmalı, fabrika sıfırlamalı, yamalı yazılım sürümlerini kullanarak yeniden inşa etmeli, yedeklenmiş yapılandırmaları yeniden imparatmalı ve tüm bağlı veya maruz kalan sertifikaları, anahtarları ve şifreleri iptal etmelidir.
Bir sonraki aşamada, Ivanti ürünlerini ağlarında etkileyen federal ajanslar, tüm bağlantılı alan hesaplarının tehlikeye atıldığını ve birleştirilmiş/kayıtlı cihazları (bulut ortamlarında) devre dışı bıraktığını veya tüm hesaplar için çift şifre sıfırlamasını ve Kerberos Tickers'ı ve iptal ettiğini varsaymalıdır. bulut jetonları (hibrit kurulumlarda).
Her iyileşme aşamasından sonra, ajanslar siber güvenlik ajansı tarafından sağlanan bir siber tarama şablonu kullanarak CISA'ya gerekli tüm eylemlerde statülerini bildirmelidir. Ayrıca, CISA'nın isteği üzerine veya tüm işlemlerin tamamlandığı zaman ilerlemeleri hakkında güncellemeler yapmak zorunda kalacaklar.
CISA, "Bu tamamlayıcı yön, CISA, etkilenen yazılımları işleten tüm ajansların gerekli tüm eylemleri bu yönden gerçekleştirdiğini veya yönün diğer uygun eylemlerle sonlandırıldığını belirleyene kadar yürürlükte kaldı." Dedi.
Ivanti, saldırılarda sömürülen yeni Connect Secure Zero-Day konusunda uyarıyor
Ivanti: VPN Cihazları Hafifleştirmeden sonra yapılandırmaları itiyorsanız savunmasız
Ivanti, şimdi kitlesel sömürü altında güvenli sıfır günleri bağlayın
CISA Acil Durum Direktifi: Ivanti sıfır günlerini hemen azaltın
CISA: Eleştirel Ivanti Auth Bypass Bug artık aktif olarak sömürüldü
Kaynak: Bleeping Computer