CISA: «Отключить всё!». Срочная эвакуация из-за кибератаки на госсектор

Агентство по кибербезопасности и защите инфраструктуры США (CISA) потребовало от всех федеральных ведомств срочно отключить устройства Ivanti Connect Secure и Ivanti Policy Secure из-за трех активно используемых хакерами уязвимостей нулевого дня в этих продуктах.

Первые две проблемы, CVE-2023-46805 (обход аутентификации) и CVE-2024-21887 (внедрение команд), эксплуатируются злоумышленниками с декабря для массовых атак на устройства Ivanti по всему миру.

Компания Ivanti также предупредила о третьей уязвимости нулевого дня — CVE-2024-21893. Она также позволяет обойти аутентификацию на уязвимых шлюзах Ivanti Connect Secure и Ivanti Policy Secure.

В среду были выпущены обновления безопасности для некоторых версий ПО, подверженного этим угрозам. Ivanti также предоставила инструкции по смягчению последствий для устройств, которые нельзя защитить прямо сейчас.

Крайним сроком для отключения устройств установлена полночь пятницы, 2 февраля. Затем ведомства должны продолжить поиск признаков компрометации. Кроме того, им следует мониторить сервисы аутентификации и управления доступом, изолировать корпоративные системы и проверить привилегированные учетные записи.

Прежде чем подключить устройства Ivanti обратно к сети, организациям нужно выполнить ряд мер безопасности: экспортировать текущие конфигурации, сбросить устройства к заводским настройкам, установить последние обновления от производителя, заново импортировать сохраненные ранее конфигурации, а также отозвать все потенциально скомпрометированные сертификаты, ключи и пароли доступа.

По данным Shodan, сейчас более 22 000 устройств Ivanti доступны в интернете. Компания Shadowserver ежедневно регистрирует сотни случаев их взлома по всему миру.

Эксперты опасаются, что хакеры могли тайно контролировать некоторые правительственные сети США на протяжении недель или даже месяцев, а это ставит под вопрос безопасность конфиденциальных данных государственной важности.

«Эта дополнительная директива остается в силе, пока Агентство CISA не подтвердит, что все ведомства, использующие уязвимое программное обеспечение Ivanti, полностью выполнили все необходимые требования согласно директиве. Директива также может быть отменена другим надлежащим способом», — сообщили в CISA.