负责美国政府各级网络安全和基础设施保护的网络安全和基础设施安全局 (CISA) 遭到黑客攻击。
“大约一个月前,CISA 发现了表明该机构使用的 Ivanti 产品中存在漏洞的活动,” CISA 发言人宣布。
2 月下旬,CISA 已发出警告,称网络威胁行为者正在利用Ivanti Connect Secure 和 Ivanti Policy Secure 网关中先前发现的漏洞。Ivanti Connect Secure 是一种广泛部署的 SSL VPN,而 Ivanti Policy Secure (IPS) 是一种网络访问控制 (NAC) 解决方案。
现在,CISA 本身也成为涉及 Ivanti 产品的网络攻击的受害者。
CISA 使系统离线
显然,这次攻击破坏了两个 CISA 系统,这些系统立即离线。截至撰写本文时,尚未报告任何运营影响。
根据有关此次泄露的早期报告,一位匿名消息人士称,受到损害的系统是基础设施保护(IP)网关,其中包含有关美国基础设施相互依赖性的关键信息,以及化学安全评估工具(CSAT),其中包含私人信息部门化学品安全计划。
CSAT是一个在线门户,其中包含高度敏感的信息,用于确定根据化学设施反恐标准 (CFATS)哪些设施被视为高风险。
CISA 拒绝证实或否认其哪些系统已离线。
持续存在的 Ivanti 漏洞
除了 2 月份针对 Ivanti 产品发出的警告之外, CISA还在 1 月底向运行该产品的所有联邦机构发布了一项指令。该指令规定,各机构必须断开 Ivanti VPN 设备的连接并执行出厂重置,然后才能将其重新连接到网络。
针对暴露机构的其他指导包括持续的威胁搜寻、身份验证和身份管理服务监控、潜在受感染的系统隔离和持续的特权级别访问帐户审核。
早在 2023 年 8 月,CISA 警报指出,Ivanti Endpoint Manager Mobile 中发现的漏洞允许对特定 API 路径进行未经身份验证的访问。这使得攻击者能够访问易受攻击的系统上的用户的个人身份信息 (PII),例如姓名、电话号码和其他移动设备详细信息。黑客还可以执行其他配置更改,例如安装软件和修改注册设备上的安全配置文件。
CISA 攻击作者身份不明
根据安全公司Volexity和Mandiant的说法,研究证据表明,感染这些设备的罪魁祸首是出于间谍目的。Volexity 发现了两个漏洞的活跃利用,允许在 Ivanti Connect Secure VPN 设备中执行未经身份验证的远程代码。
Mandiant 追踪的攻击组织为 UNC5221,认为威胁行为者正在开展“间谍活动 APT 活动”。Mandiant 调查人员分享了与 Ivanti 设备利用相关的五个恶意软件系列的详细信息。该恶意软件允许黑客绕过身份验证并提供对这些设备的后门访问。
让 Ivanti 产品重新上线
Ivanti 发布了官方安全公告和知识库文章,其中包括应立即应用的缓解说明。然而,缓解措施并不能解决过去或正在进行的妥协。因此,安全团队应该彻底分析系统并留意违规迹象。
与此同时,CISA 发言人表示,该机构继续“对我们的系统进行升级和现代化”。简而言之,这总结了所有组织在收到有关这些正在进行的攻击的消息后应该采取的行动。
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/32344.html
