Agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) izdala je direktivu svim federalnim civilnim izvršnim agencijama, nalažući im da isključe sve Ivanti uređaje sa svojih mreža u roku od 48 sati zbog aktivnog iskorištavanja višestrukih sigurnosnih nedostataka u tim sustavima od strane različitih aktera prijetnji. Ovo je uslijedilo nakon upozorenja sigurnosnih istraživača da kibernetički napadači koje podupire kineska država, poznati kao UNC5221, iskorištavaju najmanje dvije ranjivosti u uređajima Ivanti Connect Secure i Ivanti Policy Secure.
Ranjivosti uključuju grešku zaobilaženja autentifikacije i grešku ubrizgavanja naredbi, a obje su iskorištene kao zero-days i od njihovog otkrivanja početkom siječnja. Dodatno, greška krivotvorenja zahtjeva na strani poslužitelja i ranjivost eskalacije privilegija također su identificirani u ovim sustavima. Ivanti je otkrio da je greška krivotvorenja zahtjeva na strani poslužitelja već korištena u ciljanim napadima kao zero-day.
Agencije su obvezne odspojiti sve instance proizvoda Ivanti Connect Secure i Ivanti Policy Secure rješenja sa svojih mreža do određenog roka. Ova se direktiva odnosi na 102 federalne civilne agencije izvršne vlasti, uključujući Ministarstvo domovinske sigurnosti, Ministarstvo energetike, Ministarstvo vanjskih poslova, Ured za upravljanje osobljem i Komisiju za vrijednosne papire i burzu.
Privatnim subjektima koji koriste Ivanti uređaje toplo se savjetuje da poduzmu slične korake kako bi zaštitili svoje mreže od mogućeg iskorištavanja. Hitnost direktive je istaknuta činjenicom da CISA inzistira na fizičkom odspajanju uređaja odmah, umjesto da ih zakrpi, jer bi napadači potencijalno mogli pristupiti računima domene, sustavima u oblaku i drugim povezanim resursima.
CISA je dao upute o traženju pokazatelja ugroženosti, kao i kako ponovno spojiti uređaje na mreže nakon što su ponovno izgrađeni. Agencija je također ponudila tehničku pomoć agencijama kojima nedostaju interne sposobnosti za provedbu ovih radnji.
Agencije su dobile upute da nastave s aktivnostima lova na prijetnje na sustavima povezanim s uređajima i da izoliraju te sustave od resursa poduzeća što je više moguće. Također su dužni nadzirati usluge provjere autentičnosti ili upravljanja identitetom koje su mogle biti izložene i revidirati pristupne račune za bilo kakav pristup na razini povlastica.
Za ponovno spajanje Ivanti uređaja, agencijama se daje uputa da izvezu konfiguracijske postavke uređaja, izvrše vraćanje na tvorničke postavke i zatim ponovno izgrade uređaje. Softver uređaja mora se nadograditi na određene verzije putem službenog portala za preuzimanje. Nakon dovršetka nadogradnje, postavke konfiguracije mogu se uvesti natrag u uređaj.
Agencije su također dužne opozvati i ponovno izdati sve povezane ili izložene certifikate, ključeve i lozinke i prijaviti status ovih koraka CISA-i do određenog roka. Osim toga, agencije dobivaju upute da dvaput ponište lozinke za lokalne račune, opozovu Kerberos karte i opozovu tokene za račune u oblaku. Uređaji koji su pridruženi oblaku ili koji su registrirani također se trebaju onemogućiti kako bi se opozvali tokeni uređaja.
Općenito, direktiva naglašava hitnost isključivanja i ponovne izgradnje Ivanti uređaja kako bi se federalne mreže zaštitile od iskorištavanja od strane prijetnji. Ističe potrebu za sveobuhvatnim koracima za rješavanje potencijalnih kompromisa i jačanje sigurnosti ovih sustava.
Croatian 
English 
Albanian 
Serbian 