根据网络安全和基础设施安全局(CISA)的一项新命令,联邦机构将有 14 天的时间来回应 CISA 关于配置错误或暴露在互联网上的网络设备的任何报告。
该命令适用于允许远程身份验证或管理的任何网络设备,例如防火墙、路由器和负载平衡器。
该命令要求联邦部门限制访问权限,以便只有机构本地或内部网络上的授权用户才能访问这些设备的管理界面。
CISA 的任务是在最近发生一系列攻击之后发生的,在这些攻击中,攻击者利用流行网络产品中的零日缺陷对受害组织进行勒索软件和网络间谍攻击。
今天早些时候,事件响应公司Mandiant 透露,至少自 2022 年 10 月以来,网络间谍一直在利用总部位于加利福尼亚州的梭子鱼网络销售的许多电子邮件安全网关 (ESG) 设备中的零日漏洞来收集来自使用这些设备的组织的电子邮件设备。
Barracuda 在 5 月中旬收到关于其产品中的零日漏洞利用的警报,两天后,该公司推出了安全更新以解决所有受影响设备中的漏洞。但上周,梭子鱼采取了非常不寻常的步骤,提出更换受损的 ESG,显然是为了应对以根本方式改变系统的恶意软件,以至于它们无法再通过软件更新进行远程保护。
供应商敦促更换设备而不能更新修补
根据 Mandiant 的说法,一个之前身份不明的黑客组织负责利用 Barracuda 漏洞,并且似乎正在通过受害者组织的电子邮件记录搜索。
Mandiant 发现,当安全专家开始对 Barracuda 产品中可能存在零日漏洞发出警报时,黑客组织改变了他们的策略、技术和程序 (TTP) 以响应 Barracuda 遏制和补救该事件的努力。
Mandiant 表示,攻击者将继续改变他们的策略和恶意软件,特别是当网络防御者继续对这个对手采取行动并且他们的活动被信息安全社区进一步暴露时。
与此同时,本周我们了解了更多关于 Fortinet 制造的广泛虚拟专用网络 (VPN) 产品中的零日缺陷的持续利用的详细信息,这些产品是许多组织用来促进员工远程网络访问的设备。
6 月 11 日,Fortinet 为其 FortiOS 固件发布了六个安全更新,其中包括一个漏洞,研究人员称该漏洞允许攻击者在几乎任何 Fortinet SSL VPN 设备上运行恶意软件。
研究人员发现,只要能够访问易受攻击的 Fortinet SSL VPN 设备的管理界面就足以完全破坏设备。
这是在每个 SSL VPN 设备上都可以访问的预身份验证。
在6 月 12 日发布的详细信息中,Fortinet 确认其中一个漏洞 ( CVE-2023-27997 ) 正在被积极利用。该公司表示,它在 2023 年 1 月开始的内部代码审计中发现了这个弱点,当时它了解到黑客正在利用其产品中的一个不同的零日漏洞。
用于查找物联网设备的搜索引擎Shodan.io报告称,目前有超过 50 万台易受攻击的 Fortinet 设备可通过公共互联网访问。
CISA 的新网络安全指令命令机构从互联网上删除任何网络设备管理接口,只允许从内部企业网络访问它们(CISA 建议使用隔离的管理网络)。
CISA 还表示,机构应该让部署功能,作为零信任架构的一部分,通过与接口本身分开的策略实施点(首选操作)来实施对接口的访问控制。
安全专家表示,CISA 的命令凸显了这样一个现实,即网络间谍和勒索软件团伙正在使组织将任何设备暴露在公共互联网上的风险越来越大,因为这些团体有强烈的动机来探测这些设备是否存在以前未知的安全漏洞。
这种动态最明显的例子可以从勒索软件组织发现并突袭广泛使用的文件传输协议 (FTP) 应用程序中的零日缺陷的频率中看出。特别是一个勒索软件团伙 Cl0p 反复利用各种 FTP 设备中的零日漏洞从数百名勒索软件受害者那里勒索数千万美元。
2 月 2 日,攻击者正在利用Fortra的 GoAnywhere FTP 设备中的零日漏洞。到修复该漏洞的安全更新可用时,Cl0p 已经使用它从一百多个运行 Fortra FTP 设备的组织中窃取数据。
据 CISA 称,5 月 27 日,Cl0p 开始利用MOVEit Transfer (一种流行的面向 Internet 的文件传输应用程序)中以前未知的缺陷。MOVEit 母公司 Progress Software 已经发布了安全更新来解决这个弱点,但 Cl0p声称已经使用它来破坏数百个受害组织。
TechCrunch一直在追踪受害组织的影响,这些组织的范围从银行和保险提供商到大学和医疗机构。
每周安全新闻播客最近一直在敦促组织放弃任何和所有 FTP 设备,并指出 Cl0p(或其他犯罪团伙)可能会对其他 FTP 设备供应商进行相同的攻击。
但是,这个合理的建议并不能完全适用于 Barracuda ESG 或 Fortinet SSL VPN 等中端网络设备,这些设备在中小型组织中尤为突出。
它不像 FTP 服务,你不能告诉企业关闭 VPN 因为断开 VPN 对生产力的影响是终端,这是不可能的。那么如何减轻必须在网络边缘使用加入域的网络设备的影响,因为它会在其中产生零日漏洞?没有好的答案。
COVID-19 大流行为整个类别的网络设备注入了新的活力,这些网络设备所依赖的代码在设计时从未考虑过当今的威胁模型。
在大流行之前的几年里,推动身份感知代理和零信任一切以及远离这种类型的设备是渐进的,但它正在发生。然后大流行来袭,每个人都不得不在家工作,而且确实有一个快速开始的选择,那就是部署具有企业功能的 VPN 集中器。
安全行业一直专注于构建安全性更高的下一代远程访问工具,但当大流行袭来时,组织争先恐后地拼凑起来。
市场上唯一可用的东西是所有这些没有经过适当品质保证的陈旧垃圾,每次你摇晃它们时,CVE 都会掉下来。
他们在大流行期间售出了这么多 VPN,这是后遗症。延长了这些公司和技术的寿命,这很不幸,造成了现在的局面。
