חדשות הסייבר לשבוע האחרון
לאחר שהתגלו ב-Ivanti מספר חולשות הסוכנות להגנת סייבר ותשתיות בארה"ב (CISA) דורשת מכל הסוכנויות הממשלתיות לנתק מהרשת במיידי את כל המכשירים הפגיעים. שימו לב, הסוכנות דורשת מהם לנתק את החיבור במיידי ולא יאוחר מסוף היום של ה-2.2.24. חזרה של המכשירים לרשת תתבצע רק לאחר התקנה מחדש של המוצר, חקירת הרשת ועוד. בשבועיים האחרונים נחשפו מספר חברות בישראל שנפגעו מהחולשות ב-Ivanti וזיהו כי תוקפים השתילו נוזקות ברשת הארגונית.
חברת AnyDesk הודיעה על עבודות תחזוקה משמעותיות של 48 שעות בלי הודעה מוקדמת. בשינוי שבוצע, החברה מציינת כי הוחלפו התעודות הדיגיטליות (Code signing certificate). החברה פירסמה הודעה רשמית על כך שתוקפים הצליחו לחדור לחלק ממערכות החברה.
ממשלת ארה"ב חושפת את השמות של חברי קבוצת Cyber Avengers ומטילה עליהם סנקציות רחבות. כזכור, מדובר בקבוצה שפגעה בבקרים של חברת יוניטרוניקס הישראלית וביצעה מספר פעולות גם נגד ארגונים בישראל.
מערך הסייבר הלאומי
התרעה דחופה: פגיעויות קריטיות במוצרי Ivanti
1. זוהו 2 פגיעויות במוצר Ivanti Connect/Policy Secure, המאפשרות באמצעות שרשור, השתלטות מרחוק על הציוד ללא צורך בהזדהות. הפגיעויות מנוצלות בפועל על ידי תוקפים בעולם (Zero Day).
-
- הפגיעות הראשונה מזוהה כ-CVE-2023-46805 ומאפשרת מעקף של מנגנון הזדהות. ציון CVSS 8.2.
- הפגיעות השנייה מזוהה כ-CVE-2024-21887, ומאפשרת הזרקת פקודות לציוד. ציון CVSS 9.1.
- השרשור של שתי הפגיעויות עלול לאפשר לתוקף להריץ פקודות מרחוק על הציוד ללא צורך בהזדהות.
- כל הגרסאות הנתמכות של המוצרים (9.x, 22.x) – פגיעות. במקרים מסוימים גם Ivanti Neurons ZTA Gatawey יכול להיתקף באמצעות פגיעויות אלו.
2. CISA הוסיפה הפגיעויות לקטלוג הפגיעויות המנוצלות בפועל (Known Exploited Vulnerabilities).
3. במקביל לתיקון פגיעויות אלו, פרסמה החברה מידע לגבי 2 פגיעויות נוספות, המזוהות כ-CVE-2024-21893/21888, העלולות לאפשר למשתמש מזוהה (Authenticated), העלאת הרשאות לרמת מנהלן או גישה למשאבים שהגישה אליהם מוגבלת.
4. CISA פרסמה כי קבוצות תקיפה שונות פיתחו מאד את יכולתן להתמודד עם המיטיגציות ושיטות הזיהוי של תקיפה שהציעה החברה עד כה, כולל זיהוי מקרים בהם בוצעה מניפולציה כנגד כלי ה- ICT החיצוני.
דרכי התמודדות:
- עבור חלק מהגרסאות הנתמכות החברה פרסמה עדכוני אבטחה רלוונטיים. הגרסאות הן:
Ivanti Connect Secure (versions 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 and 22.5R1.1) ZTA version 22.6R1. - החברה ממליצה לכל לקוחותיה, לבצע את התקנת הגרסה העדכנית, רק לאחר ביצוע מהלך של Factory Reset בציוד, וזאת על מנת למנוע מצב בו התוקף מצליח לשרוד את עדכון הגרסה ולשמר אחיזה בציוד. החברה מעריכה כי התהליך כולו יארך בין 3 ל-4 שעות, ועל הארגון להיערך בהתאם.
- אם מסיבה כלשהי ארגון בוחר שלא להתקין את עדכון האבטחה, יש להתקין את קובץ המיטיגציה העדכני הכולל טיפול עבור כל 4 הפגיעויות. יש לייבא מפורטל החברה לציוד את הקובץ mitigation.release.20240126.5.xml, כמעקף זמני בלבד עד שיתאפשר עדכון הציוד. כקודמו, גם קובץ מיטיגציה זה מנטרל פונקציונליות מסוימת בציוד.
- לאחר התקנת קובץ זה, אין לבצע PUSH להתקנת קונפיגורציה חדשה או שינוי תצורה קיימת בציוד, ומאחר ופעולה זו עלולה לפגוע בהגדרות האבטחה שביצע המעקף.
- אנו חוזרים וממליצים להימנע משימוש במעקף זה, אלא כמוצא אחרון, ולהעדיף בחינה והתקנה של עדכוני האבטחה, גם אם מחייבים שדרוג גרסה, ולא שימוש בקובץ המיטיגציה העדכני.
- CISA ממליצה להמשיך ניטור הדוק על הציוד, וציד אקטיבי אחר פעילות תוקפים בכל רכיב רשת הנגיש משרת ה-VPN או שזוהתה תקשורת בינו לבין שרת ה-VPN. בנוסף מומלץ ניטור מוגבר על שירותי הזדהות, שימוש בחשבונות שונים (בפרט חשבונות מנהלנים), ושירותי ניהול זהויות ארגוניים. מומלץ לבודד שירותים אלו ככל האפשר משאר הרשת הארגונית.
