CISA требует от федеральных агентств США постепенно отказаться от устаревших маршрутизаторов и межсетевого экрана

Агентство кибербезопасности и безопасности инфраструктуры США (CISA) недавно выпустило новый раунд обязательных директив по кибербезопасности, требующих от всех федеральных гражданских агентств провести всестороннее расследование и удалить периферийное сетевое оборудование и программное обеспечение, поддержка которых прекращена поставщиками, включая устаревшие маршрутизаторы, межсетевые экраны, VPN-шлюзы и коммутаторы. Регулирующие органы подчеркнули, что такие периферийные устройства с истекшим сроком службы стали одним из основных путей проникновения хакеров государственного уровня в правительственные сети и должны быть устранены в течение ограниченного времени.

Документ под названием «Обязательная оперативная директива 26-02» был выпущен совместно CISA и Управлением управления и бюджета Белого дома. Целью проекта является устранение давно существующей слабости федеральной ИТ-системы: устаревшей, неисправленной инфраструктуры периметра сети. CISA отмечает, что во многих атаках злоумышленники не полагаются на украденные учетные данные или фишинговые электронные письма, а сначала ищут старые маршрутизаторы и межсетевые экраны, которые не обновлялись годами и больше не обслуживаются, чтобы закрепиться в правительственных сетях.

Согласно новой директиве, федеральные агентства обязаны немедленно обновлять устройства, которые все еще находятся в цикле поддержки производителя, и должны заменить любые устройства, поддержка которых закончилась, в течение 12 месяцев. В течение 3 месяцев с даты вступления в силу директивы агентства должны провести исчерпывающую инвентаризацию всех периферийных устройств и указать, какие из них превысили срок поддержки производителя. В следующем году соответствующие агентства должны поэтапно вывести из эксплуатации это «выходное из эксплуатации» оборудование и одновременно разработать планы замены, чтобы предотвратить повторный выход новой партии оборудования из гарантийного состояния в краткосрочной перспективе.

Директива также устанавливает 18-месячный срок, к которому все неподдерживаемые устройства должны быть полностью удалены из сетей федерального правительства. Чтобы предотвратить «возрождение», документ также требует от агентств создать механизм непрерывного отслеживания, чтобы гарантировать, что устаревшее оборудование после очистки не будет незаметно повторно подключено к сетевой среде.

Мадху Готтумуккала, исполняющий обязанности директора CISA, заявил, что этот шаг является «запоздалым» и «неизбежным». В течение многих лет CISA отслеживает, как злоумышленники используют сетевые устройства, которые больше не получают обновлений безопасности, для взлома правительственных систем, в которых уже установлены современные средства защиты конечных точек. Ник Андерсен, исполнительный помощник директора по кибербезопасности CISA, также отметил, что как спонсируемые государством хакерские организации, так и корыстные атакующие группы все чаще нацеливаются на такое старое оборудование и используют уязвимости в устаревших прошивках для взлома. В случае успеха они могут перемещаться по сети, красть данные или вмешиваться в критически важные бизнес-операции.

Каталог известных эксплуатируемых уязвимостей, поддерживаемый CISA, задокументировал многочисленные атаки, связанные с снятым с производства сетевым оборудованием, включая уязвимость, связанную с снятыми с производства маршрутизаторами D-Link, раскрытую в декабре. Агентство также сослалось на атаку на национальное государство в 2025 году, приписываемую Китаю, которая широко использовала старое сетевое оборудование для ведения кибершпионажа.

Хотя директива является обязательной для федеральных гражданских агентств, она не налагает прямых финансовых или юридических санкций. CISA и Административно-бюджетное управление будут оказывать давление посредством отслеживания прогресса и публичной отчетности о результатах работы, но на практике агентства часто будут выполнять такие «связанные оперативные директивы» как высокоприоритетные задачи безопасности.

Для поддержки усилий по внедрению CISA создала внутренний «Список периферийных устройств с истекшим сроком службы», в котором представлены модели устройств, обычно встречающиеся в федеральных средах, срок поддержки которых приближается к сроку поддержки, установленному их производителем, или превышает его. По соображениям безопасности этот список не будет опубликован, чтобы потенциальные злоумышленники не могли получить подсказки для определения цели. Агентствам, не входящим в федеральную административную систему, включая органы власти штатов и местные органы власти, а также частные компании, CISA рекомендует активно общаться с производителями оборудования, чтобы понять циклы поддержки и статус риска оборудования, которое они используют.