您的组织是否能够快速转向修复安全设备中的零日漏洞?
最近, 梭鱼, 众所周知的存储, 安全和网络产品公司, 因其电子邮件安全网关设备(ESG)中发现的复杂漏洞而受到审查。. 目前, 梭子鱼建议在某些情况下更换设备, 不管你是不是梭鱼的顾客, 在探索发生的事件时,有一些重要的教训值得考虑.
细节
5月18日, 2023, 梭鱼收到了来自其电子邮件安全网关设备的异常流量警报. 梭鱼号与曼迪昂特公司合作,协助调查交通状况. 他们很快在ESG设备中发现了一个零日漏洞, cve - 2023 - 2868.
他们还确定,第三方一直在利用该漏洞未经授权访问ESG设备. 梭鱼迅速开发并发布了受影响设备的补丁, 但也确定恶意软件允许持续后门访问存在于受影响设备的子集上. 此外,在一些受损设备上发现了数据泄露的证据. 最早的漏洞利用证据可以追溯到2022年10月.
在持续的调查过程中,梭鱼试图对客户保持透明,并公布了目前已知的泄露指标以及Yara和Snort检测规则 他们的网站. 调查仍在进行中, 但梭子鱼表示,他们认为这个漏洞是被“一名攻击性强、技术高超的演员”利用的,曼迪昂特确认为UNC4841, 作为有针对性的信息收集活动的一部分.
梭鱼的指导
梭鱼州在他们的 网站 受影响的ESG设备必须立即更换,无论补丁版本级别如何,他们对受损ESG设备的补救建议仍然是更换受损的ESG.“目前必须注意到这一点, 只有一些ESG设备显示出已知的妥协迹象, 哪些是通过设备的用户界面中的消息标记的. 如果您在用户界面中收到一条消息,警告您存在危险,并且尚未更换设备, 您可以通过以下方式联系梭鱼技术支持 (电子邮件保护) 获取新的ESG虚拟设备或硬件设备. 另外, 梭鱼建议轮换连接到ESG设备的任何适用凭证, 包括LDAP/Active Directory, 梭鱼云控制, FTPbet9平台游戏器凭据, SMB, 和任何私有TLS证书.
为什么重要?
虽然目前的调查表明,只有一小部分ESG设备受到了损害, 即使设备是出厂重置的,所达到的破坏程度也可能足以让威胁行为者保持访问权限. 当考虑到梭鱼和Mandiant给出的指导从简单的修补到完全更换受损设备的变化时,这一结论得到了加强. 调查显示,这个零日漏洞于2022年10月首次被利用, 也就是说威胁行为者可能在很长一段时间内一直在从目标那里窃取数据.
风险管理
作为风险管理的一部分, 每个人在购买安全设备之前都应该进行尽职调查. 然而, 尽管进行了所有的预购研究, 数据收集, 以及风险测量, 我们无法控制未知的零日漏洞或购买后发现的漏洞.
组织应该遵循风险管理框架(RMF)。. 例如, NIST的特别出版物800-37 讨论风险管理框架. NIST RMF包括一个“监视”阶段, 哪一点对确保对你的设备进行持续审查很重要. 在这个阶段, 组织监控设备, 与设备相关的任何控制, 以及设备的安全配置. 这允许组织了解新的补丁, 更新, 或已部署设备的信息发布. 监控也可以采取定期审查供应商网站的形式, 论坛, 邮件列表, 设备仪表盘, 新闻更新. 监测阶段对于梭鱼的ESG事件非常重要,因为他们的指导方针从补丁改为更换受影响的设备.
事件响应
根据梭鱼的调查, 威胁行为者能够在ESG设备上实现基于恶意软件的后门. 调查还发现,一部分受感染的设备经历了电子邮件数据泄露. 如果您的组织在已部署的网络设备上遇到类似的情况, 你会如何回应??
根据我们的经验, 混乱响应和专业响应的区别在于是否有成熟的事件响应计划(IRP)。. 经历此类事件的组织应该保持冷静,并通过其IRP中表达的过程和程序进行工作. IRP应该为不同类型的事件定义特定的角色. IRP可以包含从“打补丁”到“擦除并重新安装”到“必须替换”的操作。.
开发成熟的IRP的另一个方面是桌面练习(TTX)。. TTX基本上是组织测试其IRP的会议/对话. TTX以对组织内虚构事件的简要描述开始. 然后,组织必须实时地描述其响应. TTX继续添加其他事件和/或描述符, 通常称为“数据注入”,组织根据其IRP提供额外的响应.
TTX为组织提供了IRP实践. 在TTX期间, 对话的发生有助于组织认识到其IRP的优点和缺点. 全年定期进行TTX是最好的做法, 特别是在实现新的安全场景时.
施耐德唐斯可以帮助您完成RMF, IRP和ttx. 无论您的RMF、IRP或ttx是不存在的还是成熟的,我们都可以提供帮助.
关于施耐德唐斯网络安全
施耐德唐斯网络安全实践由提供全面信息技术安全bet9平台游戏的专家组成, 包括渗透测试, 入侵防御/检测审查, ransomware安全, 脆弱性评估和一个健壮的数字取证和事件响应团队. 此外,我们的?数字取证和事件响应?如果您怀疑或正在经历任何类型的网络事件,团队可以拨打1-800-993-8937,24x7x365.
想要了解情况? 订阅我们的双周通讯, 关注网络安全, at 4oyu.faithfulwebdesign.net/subscribe.
要了解更多信息,请访问我们专门的 网络安全 页面.