أمرت وكالة الأمن السيبراني الأمريكية CISA الوكالات الفيدرالية بفصل معدات IvantiVPN بشكل عاجل لأن المعدات تحتوي على عيوب برمجية متعددة وتشكل خطر التعرض للاستغلال بشكل ضار. في تحديث لتوجيهات الطوارئ التي صدرت لأول مرة الأسبوع الماضي، تطلب CISA الآن من جميع وكالات السلطة التنفيذية المدنية الفيدرالية (تشمل القائمة وزارة الأمن الداخلي ولجنة الأوراق المالية والبورصات) فصل جميع أجهزة IvantiVPN لأن المتسللين الخبيثين يستغلون حاليًا العديد من ثغرات يوم الصفر لتشكيل "تهديد خطير".
في حين أن الوكالات الفيدرالية عادةً ما يكون لديها أسابيع لتصحيح الثغرات الأمنية، فقد أمرت CISA بفصل أجهزة IvantiVPN في غضون 48 ساعة.
"يجب على الوكالات التي تدير المنتجات المتأثرة (حلول IvantiConnectSecure أو IvantiPolicySecure) تنفيذ المهام التالية على الفور: قطع اتصال جميع مثيلات منتج حل IvantiConnectSecure وIvantiPolicySecure من شبكة الوكالة في أسرع وقت ممكن بحلول الساعة 11:59 مساءً يوم الجمعة 2 فبراير 2024،" يقرأ توجيه الطوارئ، الذي تم تحديثه يوم الأربعاء.
قبل ساعات فقط من إصدار CISA للتحذير، ادعى Ivanti أنه اكتشف ثغرة أمنية ثالثة تم استغلالها بشكل نشط.
يقول باحثون أمنيون إن المتسللين المدعومين من الدولة الصينية استغلوا ما لا يقل عن اثنتين من نقاط الضعف في IvantiConnectSecure - التي تم تتبعها باسم CVE-2023-46805 وCVE-2024-21887 - منذ ديسمبر. وقالت شركة Ivanti يوم الأربعاء إنها اكتشفت ثغرتين أخريين هما CVE-2024-21888 وCVE-2024-21893، وتم استغلال الأخيرة في هجمات "مستهدفة". وقالت CISA سابقًا إنها "لاحظت بعض الهجمات الأولية التي استهدفت الوكالات الفيدرالية".
وقال ستيفن أدير، مؤسس شركة Volexity للأمن السيبراني، يوم الخميس، إن ما لا يقل عن 2200 جهاز Ivanti قد تم اختراقها حتى الآن. ويمثل هذا زيادة قدرها 500 وحدة من 1700 وحدة تتبعتها الشركة في وقت سابق من هذا الشهر، على الرغم من أن Volexity أشارت إلى أن "المجموع من المحتمل أن يكون أعلى بكثير".
في تحديث لتوجيه الطوارئ، أبلغت CISA الوكالات أنه بعد فصل منتجات Ivanti الضعيفة، يجب على الوكالات مواصلة البحث عن التهديدات على أي أنظمة متصلة بالأجهزة المتضررة، ومراقبة خدمات المصادقة أو إدارة الهوية التي يحتمل أن تكون مكشوفة، ومواصلة تدقيق مستويات الأذونات لحسابات الوصول.
قدمت CISA أيضًا تعليمات لاستعادة معدات Ivanti عبر الإنترنت، لكنها لم تمنح الوكالات الفيدرالية موعدًا نهائيًا لاستعادة معدات Ivanti عبر الإنترنت.
وقال Adari: "لقد وجهت CISA الوكالات الفيدرالية بشكل فعال لتبني طريقة لنشر أجهزة VPN [IvantiConnectSecure] التي تعتبر مثبتة حديثًا ومصححة كشرط لإعادتها إلى الإنترنت مرة أخرى". "إذا أرادت أي وكالة التأكد تمامًا من أن أجهزتها تعمل في حالة جيدة وموثوقة معروفة، فقد يكون هذا هو أفضل مسار للعمل."
بعد تحذير من CISA من أن الجهات الفاعلة الخبيثة كانت تتجاوز عمليات التخفيف التي تم إصدارها لأول اثنتين من نقاط الضعف، قدمت Ivanti هذا الأسبوع تصحيحات لإصدارات مختارة من البرامج المتأثرة بالثغرات الثلاث المستغلة بشكل نشط. تحث Ivanti العملاء أيضًا على إعادة ضبط أجهزتهم في المصنع قبل إجراء التصحيح لمنع المتسللين من الوصول المستمر إلى شبكاتهم.