Агенција за сајбер безбедност и безбедност инфраструктуре (ЦИСА) издала је директиву свим агенцијама Федералне цивилне извршне власти, наређујући им да искључе све Иванти уређаје са својих мрежа у року од 48 сати због активног коришћења вишеструких безбедносних пропуста у овим системима од стране различитих актера претњи. Ово следи упозорење истраживача безбедности да су кинески државни цибер нападачи познати као УНЦ5221 искоришћавали најмање две рањивости у уређајима Иванти Цоннецт Сецуре и Иванти Полици Сецуре.
Рањивости укључују грешку заобилажења аутентификације и грешку у убризгавању команде, а обе су искоришћене као нулти дан и од њиховог откривања почетком јануара. Поред тога, у овим системима је такође идентификована грешка у фалсификовању захтева на страни сервера и рањивост ескалације привилегија. Иванти је открио да је грешка за фалсификовање захтева на страни сервера већ коришћена у циљаним нападима као нулти дан.
Од агенција се тражи да искључе све инстанце производа Иванти Цоннецт Сецуре и Иванти Полици Сецуре са својих мрежа до одређеног рока. Ова директива се примењује на 102 савезне цивилне извршне агенције, укључујући Министарство за унутрашњу безбедност, Министарство енергетике, Стејт департмент, Канцеларију за управљање персоналом и Комисију за хартије од вредности.
Приватним субјектима који користе Иванти уређаје се снажно саветује да предузму сличне кораке како би заштитили своје мреже од потенцијалне експлоатације. Хитност директиве је наглашена чињеницом да ЦИСА инсистира на томе да се уређаји физички искључе одмах, уместо да их закрпе, јер би нападачи потенцијално могли да приступе налозима домена, системима у облаку и другим повезаним ресурсима.
ЦИСА је дала упутства за тражење индикатора компромиса, као и како да поново повежете уређаје на мреже након што су поново изграђени. Агенција је такође понудила техничку помоћ агенцијама које немају интерне способности за спровођење ових радњи.
Агенцијама је наложено да наставе активности тражења претњи на системима повезаним са уређајима и да изолују ове системе од ресурса предузећа колико год је то могуће. Од њих се такође тражи да надгледају услуге аутентикације или управљања идентитетом које су могле бити откривене и ревидирати приступне налоге за било који приступ на нивоу привилегија.
Да би поново повезали Иванти уређаје, агенцијама се налаже да извезу подешавања конфигурације уређаја, изврше фабричка подешавања, а затим поново направе уређаје. Софтвер уређаја мора бити надограђен на одређене верзије преко званичног портала за преузимање. Након што се надоградња заврши, подешавања конфигурације могу да се увезу назад у уређај.
Од агенција се такође тражи да опозову и поново издају све повезане или изложене сертификате, кључеве и лозинке и пријаве статус ових корака ЦИСА-и до одређеног рока. Поред тога, агенцијама је наложено да два пута ресетују лозинке за локалне налоге, повуку Керберос тикете и опозову токене за налоге у облаку. Уређаји који су повезани са клаудом или регистровани уређаји такође треба да буду онемогућени да би се опозвали токени уређаја.
Све у свему, директива наглашава хитност искључивања и поновне изградње Иванти уређаја како би се савезне мреже заштитиле од експлоатације од стране претњи. Он наглашава потребу за свеобухватним корацима за решавање потенцијалних компромиса и јачање безбедности ових система.