Агентство по обеспечению кибербезопасности и защите инфраструктуры США (CISA) выпустило новую обязательную оперативную директиву, требующую от федеральных ведомств выявлять и удалять сетевые периферийные устройства, которые больше не получают обновлений безопасности от производителей.
Также было вынесено предупреждение о том, что устаревшие периферийные устройства (включая маршрутизаторы, межсетевые экраны и сетевые коммутаторы) делают федеральные системы уязвимыми для вновь обнаруженных эксплойтов и подвергают их «непропорциональным и неприемлемым рискам».
«Неминуемая угроза эксплуатации информационных систем ведомств, использующих периферийные устройства с окончанием поддержки, является существенной и постоянной, что создает значительную угрозу федеральной собственности. CISA осведомлена о широкомасштабных кампаниях эксплуатации, проводимых продвинутыми злоумышленниками, нацеленными на периферийные устройства с окончанием поддержки», — заявило в четверг агентство по кибербезопасности.
«Эти устройства особенно уязвимы для кибератак, нацеленных на вновь обнаруженные, неисправленные уязвимости. Кроме того, они больше не получают поддерживаемых обновлений от оригинального производителя оборудования, что подвергает федеральные системы непропорциональным и неприемлемым рискам».
Обязательная оперативная директива 26-02 (BOD 26-02) предписывает правительственным учреждениям США выводить из эксплуатации оборудование и программное обеспечение с окончанием поддержки (EOS) в федеральных сетях, чтобы предотвратить их использование продвинутыми злоумышленниками.
Директива требует немедленных действий в отношении устройств, поддерживаемых поставщиками и использующих программное обеспечение с окончанием поддержки, для которого доступны обновления, а также инвентаризации всех устройств из списка CISA по окончании поддержки в течение трех месяцев.
Федеральные ведомства также имеют 12 месяцев для вывода из эксплуатации устройств, у которых срок поддержки истек до даты выпуска директивы. В течение 18 месяцев все выявленные периферийные устройства с окончанием поддержки должны быть заменены на оборудование, поддерживаемое поставщиком и получающее текущие обновления безопасности.
BOD 26-02 также требует от них внедрения процессов непрерывного обнаружения в течение 24 месяцев для идентификации периферийных устройств и поддержания инвентарных списков оборудования и программного обеспечения, приближающегося к статусу окончания поддержки.
Хотя эти требования применяются только к федеральным гражданским исполнительным органам США (FCEB), CISA призывает всех защитников сетей следовать рекомендациям, изложенным в данном информационном бюллетене, для защиты систем, данных и операций от групп злоумышленников, нацеленных на сетевые периферийные устройства в текущих атаках.
Три года назад, в июне 2023 года, CISA также выпустила Обязательную оперативную директиву 23-02, которая требует от федеральных гражданских ведомств защиты неправильно сконфигурированных или доступных из Интернета интерфейсов управления (например, маршрутизаторов, межсетевых экранов, прокси-серверов и балансировщиков нагрузки).
За несколько месяцев до этого агентство объявило, что будет предупреждать организации критической инфраструктуры о наличии у них сетевых устройств, уязвимых для атак программ-вымогателей, в рамках новой программы Ransomware Vulnerability Warning Pilot (RVWP).
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
