Az Európai Bizottság, az ENISA, a CERT-EU, az Europol és az EU nemzeti számítógépes biztonsági incidensekre reagáló csoportjainak hálózata (CSIRTs Network) szorosan figyelemmel kísérte az Ivanti Connect Secure és az Ivanti Policy Secure Gateway termékekben, a korábban Pulse Connect Secure néven ismert kereskedelmi virtuális magánhálózati (VPN) megoldásokban található sebezhetőségek aktív kihasználását.
2024. január elején két sebezhetőséget, majd január 31-én még további két sebezhetőséget hoztak nyilvánosságra, amelyek az Ivanti Connect Secure és az Ivanti Policy Secure Gateway termékek valamennyi támogatott verzióját érintik, és lehetővé teszik a támadók számára, hogy parancsokat futtassanak a célrendszereken. Az eredetileg nyilvánosságra hozott sebezhetőségek szélesebb körű kihasználását már január közepén megfigyelték.
Ebben a folyamatosan formálódó helyzetben nyomatékosan ajánljuk minden szervezetnek, hogy rendszeresen ellenőrizze a CSIRTs Network tagjai és a CERT-EU által nyújtott útmutatást a legfrissebb értékelésekért és tanácsokért. A javasolt gyári alaphelyzetbe állítás elvégzésére vonatkozó részletes utasításokért a szervezetek követhetik a gyártó részletes utasításait is.
A szervezetek számára létfontosságú, hogy megfelelően reagáljanak a legújabb fejleményekre, hogy kritikus üzleti tevékenységeik folytatásához.
A CSIRTs network tagjai által közzétett legfrissebb tanácsokat a megfelelő hivatalos kommunikációs csatornáikon találja meg. A szervezetek a CERT-EU által adott útmutatásokat is figyelembe vehetik.
Az ENISA a következő címen tart fenn tanácsadói gyűjteményt: https://github.com/enisaeu/CNW/blob/main/advisories/2024/Multiple-Vulns-Ivanti-Secure-Gateways.md
“Rendkívül fontos, hogy a szervezetek azonnal cselekedjenek és megfelelően reagáljanak a legújabb fejleményekre, hogy a kritikus üzleti tevékenységeket folytatni tudják. A most elérhetővé tett javítások alkalmazása az eszköz gyári visszaállítását jelenti. Ez azonban nem feltétlenül oldja meg a korábbi kompromittáltságot. A rendszereket ezzel egyidejűleg alaposan elemezni kell az Ivanti KB cikkben leírtak szerint. Továbbá fontos, hogy az ICS VPN készülékeket működtető szervezetek felülvizsgálják a naplófájljaikat, a hálózati telemetriát és az Integrity Checker Tool (múltbeli és jelenlegi) eredményeit, hogy a sikeres kompromittálódás bármely jelét keressék.”.
EU-politika
A szervezeteknek tisztában kell lenniük azzal, hogy az EU kiberbiztonságról szóló jogi aktusa (CRA), amint hatályba lép, előírja a hardver és szoftvertermékek ─ köztük a VPN megoldások ─ gyártóinak, hogy a termékek teljes életciklusa során a tervezésen alapuló biztonság elvét kövessék. Ez magában foglalja a sebezhetőségek késedelem nélküli orvoslását is. Tekintettel a VPN megoldások kritikusságára, azokra szigorú megfelelőség értékelési követelmények vonatkoznak majd.
Az enyhítő intézkedésekhez szükséges források
Ivanti helyreállítási utasítások itt érhetők el.
Az Ivanti Connect Secure és az Ivanti Policy itt érhető el.
A sebezhetőséggel kapcsolatos technikai háttérinformációk és ajánlások itt érhetők el.
A vonatkozó útmutatásért kérjük, forduljon az illetékes nemzeti hatósághoz itt.