A CISA ordenou que todas as agências federais dos EUA desconectem todos os dispositivos Ivanti Connect Secure e Policy Secure VPN vulneráveis a vários bugs ativamente explorados antes de sábado.
Esta ação obrigatória faz parte de uma diretriz suplementar à primeira diretriz de emergência deste ano (ED 24-01) emitida na semana passada, que exige que as agências da Administração Civil Federal (FCEB) protejam urgentemente todos os dispositivos ICS e IPS em sua rede contra duas falhas de zero-day, em resposta à extensa exploração no ambiente real por vários atores de ameaças.
Os dispositivos Ivanti estão sendo atualmente alvo de ataques que encadeiam a falha de autenticação CVE-2023-46805 e a falha de segurança CVE-2024-21887 por meio de injeção de comando desde dezembro como zero-days.
A empresa também alertou para uma terceira zero-day sendo ativamente explorada (uma vulnerabilidade de falsificação de solicitação do servidor identificada como
CVE-2024-21893
), permitindo que atores de ameaças burlassem a autenticação em ICS, IPS e gateways ZTA vulneráveis.
Na quarta-feira, a Ivanti lançou patches de segurança para algumas versões de software afetadas pelas três falhas, e também forneceu instruções de mitigação para dispositivos ainda aguardando um patch ou que não podem ser protegidos imediatamente contra ataques em andamento.
Ontem, a Ivanti solicitou aos clientes que redefinam às configurações de fábrica dos dispositivos vulneráveis antes de instalar os patches para frustar as tentativas dos invasores de ganhar persistência em sua rede entre as atualizações de software.
Atualmente, o Shodan vê mais de 22.000 Ivanti ICS VPNs expostas online, enquanto a plataforma de monitoramento de ameaças Shadowserver rastreia mais de 21.400.
O Shadowserver também monitora o número de instâncias de VPN Ivanti comprometidas mundialmente todos os dias, com quase 390 dispositivos invadidos descobertos em 31 de janeiro.
Em resposta à "ameaça substancial" e ao risco significativo de violações de segurança representado pelos dispositivos VPN Ivanti comprometidos, a CISA agora obriga todas as agências federais a "desconectar todas as instâncias dos produtos Ivanti Connect Secure e Ivanti Policy Secure das redes da agência", "o mais rápido possível", mas não depois de 23h59 de sexta-feira, 2 de fevereiro.
Após os dispositivos serem removidos da rede, as agências também devem continuar procurando por sinais de comprometimento em sistemas vinculados ou recentemente conectados aos dispositivos Ivanti desconectados.
Além disso, eles devem continuar monitorando serviços de autenticação ou gerenciamento de identidade suscetíveis à exposição, isolando sistemas corporativos e auditando contas com acesso de nível privilegiado.
Para trazer os dispositivos Ivanti de volta online, as agências devem exportar suas configurações, redefiní-los para as configurações de fábrica, reconstruí-los usando versões de software corrigidas, reimportar as configurações salvas e revogar todos os certificados, chaves e senhas conectados ou expostos.
No próximo estágio, as agências federais que tiveram produtos Ivanti impactados em suas redes também devem supor que todas as contas de domínio vinculadas foram comprometidas e desabilitar dispositivos registrados (em ambientes de nuvem) ou realizar uma redefinição de senha dupla para todas as contas e revogar KAA (Kerberos Authentication Architecture) e tokens de nuvem (em configurações híbridas).
Após cada estágio de recuperação, as agências devem reportar seu status em todas as ações requeridas à CISA usando um modelo CyberScope fornecido pela agência de segurança cibernética.
Eles também terão que fornecer atualizações sobre seu progresso mediante solicitação da CISA ou quando todas as ações estiverem concluídas.
"Esta Direção Suplementar permanecerá em vigor até que a CISA determine que todas as agências que operam software afetado tenham realizado todas as ações requeridas desta Direção ou que a Direção seja encerrada por meio de outra ação apropriada", disse a CISA.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...