Агентство кибербезопасности США CISA приказало федеральным агентствам срочно отключить оборудование IvantiVPN, поскольку оно содержит множество ошибок в программном обеспечении и создает риск злонамеренного использования. В обновлении чрезвычайной директивы, впервые выпущенной на прошлой неделе, CISA теперь требует от всех федеральных гражданских агентств исполнительной власти (список включает Министерство внутренней безопасности и Комиссию по ценным бумагам и биржам) отключить все устройства IvantiVPN, поскольку злонамеренные хакеры в настоящее время используют многочисленные уязвимости нулевого дня, чтобы создать «серьезную угрозу».
В то время как у федеральных агентств обычно есть недели на исправление уязвимостей, CISA приказала отключить устройства IvantiVPN в течение 48 часов.
«Агентства, использующие затронутые продукты (решения IvantiConnectSecure или IvantiPolicySecure), должны немедленно выполнить следующие задачи: отключить все экземпляры продуктов IvantiConnectSecure и IvantiPolicySecure от сети агентства как можно быстрее к 23:59 в пятницу, 2 февраля 2024 года», — говорится в чрезвычайной директиве, обновленной в среду.
Всего за несколько часов до того, как CISA выпустило предупреждение, Иванти заявил, что обнаружил третью уязвимость нулевого дня, которая активно используется.
Исследователи безопасности говорят, что китайские хакеры, поддерживаемые государством, с декабря воспользовались как минимум двумя уязвимостями IvantiConnectSecure, отслеживаемыми как CVE-2023-46805 и CVE-2024-21887. В среду компания Ivanti сообщила, что обнаружила еще две уязвимости — CVE-2024-21888 и CVE-2024-21893, последняя из которых использовалась в «целевых» атаках. Ранее CISA заявило, что «наблюдало несколько предварительных атак на федеральные агентства».
Стивен Адэр, основатель компании по кибербезопасности Volexity, заявил в четверг, что на данный момент взломано как минимум 2200 устройств Ivanti. Это на 500 единиц больше, чем 1700, которые компания отслеживала ранее в этом месяце, хотя Volexity отметила, что «общая сумма, вероятно, намного выше».
В обновлении директивы о чрезвычайной ситуации CISA сообщила агентствам, что после отключения уязвимых продуктов Ivanti агентства должны продолжить поиск угроз на любых системах, подключенных к затронутым устройствам, отслеживать потенциально уязвимые службы аутентификации или управления идентификацией, а также продолжать проверять уровни разрешений учетных записей доступа.
CISA также предоставила инструкции по восстановлению оборудования Ivanti онлайн, но не указала федеральным агентствам срок для восстановления оборудования Ivanti онлайн.
«CISA фактически поручила федеральным агентствам принять метод развертывания VPN-устройств [IvantiConnectSecure], которые считаются только что установленными и исправленными, как требование для их повторного подключения к сети», — сказал Адари. «Если какое-либо агентство хочет быть полностью уверенным в том, что его устройства работают в заведомо исправном и проверенном состоянии, это может быть лучшим вариантом действий».
После предупреждения CISA о том, что злоумышленники обходят средства защиты, выпущенные для первых двух уязвимостей, Ivanti на этой неделе предоставила исправления для избранных версий программного обеспечения, затронутых тремя активно эксплуатируемыми уязвимостями. Ivanti также призывает клиентов выполнить сброс настроек своих устройств до заводских настроек перед установкой исправлений, чтобы хакеры не получили постоянный доступ к их сетям.