CISA: «Отключить всё!». Срочная эвакуация из-за кибератаки на госсектор

Агентство по кибербезопасности и защите инфраструктуры США (CISA) потребовало от всех федеральных ведомств срочно отключить устройства Ivanti Connect Secure и Ivanti Policy Secure из-за трех активно используемых хакерами уязвимостей нулевого дня в этих продуктах.

Первые две проблемы, CVE-2023-46805 (обход аутентификации) и CVE-2024-21887 (внедрение команд), эксплуатируются злоумышленниками с декабря для массовых атак на устройства Ivanti по всему миру.

Компания Ivanti также предупредила о третьей уязвимости нулевого дня — CVE-2024-21893. Она также позволяет обойти аутентификацию на уязвимых шлюзах Ivanti Connect Secure и Ivanti Policy Secure.

В среду были выпущены обновления безопасности для некоторых версий ПО, подверженного этим угрозам . Ivanti также предоставила инструкции по смягчению последствий для устройств, которые нельзя защитить прямо сейчас.

Крайним сроком для отключения устройств установлена полночь пятницы, 2 февраля. Затем ведомства должны продолжить поиск признаков компрометации. Кроме того, им следует мониторить сервисы аутентификации и управления доступом, изолировать корпоративные системы и проверить привилегированные учетные записи.

Прежде чем подключить устройства Ivanti обратно к сети, организациям нужно выполнить ряд мер безопасности: экспортировать текущие конфигурации, сбросить устройства к заводским настройкам, установить последние обновления от производителя, заново импортировать сохраненные ранее конфигурации, а также отозвать все потенциально скомпрометированные сертификаты, ключи и пароли доступа.

По данным Shodan, сейчас более 22 000 устройств Ivanti доступны в интернете. Компания Shadowserver ежедневно регистрирует сотни случаев их взлома по всему миру.

Эксперты опасаются, что хакеры могли тайно контролировать некоторые правительственные сети США на протяжении недель или даже месяцев, а это ставит под вопрос безопасность конфиденциальных данных государственной важности.

«Эта дополнительная директива остается в силе, пока Агентство CISA не подтвердит, что все ведомства, использующие уязвимое программное обеспечение Ivanti, полностью выполнили все необходимые требования согласно директиве. Директива также может быть отменена другим надлежащим способом», — сообщили в CISA.